Qu’est-ce que DORA : Digital Operational Resilience Act ?
Qu’est-ce que DORA : Digital Operational Resilience Act ?
La rapide transition vers le numérique a stimulé l’innovation dans le secteur des services financiers en Europe, mais a également exposé les entreprises aux cybermenaces. En réaction, l’Union européenne a introduit le règlement sur la résilience opérationnelle numérique (DORA, Digital Operational Resilience Act) qui fournit une feuille de route claire pour renforcer la cybersécurité dans l’ensemble du secteur. Une approche stratégique en matière d’identité numérique est essentielle à la conformité.
Le 16 janvier 2023, le règlement DORA et la directive associée sont entrés en vigueur, après leur adoption par le Conseil de l’Union européenne en novembre 2022. Il s’agit d’un cadre réglementaire innovant qui s’attaque aux risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques ainsi que par la multiplication de cyberattaques, de plus en plus sophistiquées, à l’encontre des acteurs du secteur financier.
Cette initiative s’inscrit dans le cadre de la stratégie en matière de finance numérique de la Commission européenne qui vise à favoriser l’innovation et l’adoption de nouvelles technologies tout en assurant la stabilité financière et la protection des consommateurs.
Ce nouveau cadre réglementaire comprend deux actes législatifs :
- Le Règlement DORA (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique. Il définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
- La Directive DORA (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022. Elle a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, etc. afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.
De la gestion du risque informatique et cyber à la résilience opérationnelle numérique
Le Règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l’information et de la communication (TIC).
Le concept de résilience opérationnelle met ainsi l’accent sur la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus large et proactive. Cette dernière part du principe que les incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.
Cette approche requiert de développer une connaissance fine du fonctionnement des activités de l’entreprise y compris de son écosystème afin d’identifier les risques et les menaces mais également d’évaluer les niveaux de perturbations acceptables pour l’organisation mais aussi du point de vue du client. Cette dynamique améliore l’agilité et la réactivité de l’organisation ce qui contribue à renforcer la confiance et la fidélité des clients.
Ainsi, il s’agit pour les entités financières d’appréhender le règlement DORA non pas comme une nouvelle contrainte réglementaire mais comme une réelle opportunité de se différencier sur le marché en renforçant leur résilience opérationnelle sur les risques informatiques, de cybersécurité, de continuité d’activité et sur les risques liés aux tiers.
Qui est concerné par cette nouvelle réglementation ?
Le Règlement DORA s’applique à un très large éventail d’entités financières du secteur financier (établissements de crédit, entreprises d’investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance, etc.) ainsi qu’aux prestataires de services TIC qui opèrent au sein de l’Union européenne dans les services financiers.
Quel est le calendrier d’application ?
Le Règlement DORA s’appliquera directement à l’ensemble des États membres de l’UE à partir du 17 janvier 2025. Au cours des deux prochaines années, la Commission européenne publiera des actes délégués sur la base des projets finaux de normes réglementaires techniques et d’exécution (RTS et ITS) qui seront soumis conjointement par les autorités européennes de surveillance (EBA, EIOPA, ESMA).
Ces textes viendront préciser certaines exigences du Règlement DORA (niveau 1) et constitueront le niveau 2 de ce nouveau cadre réglementaire unifié visant à renforcer la résilience opérationnelle numérique du secteur financier.
1 échéance clé à court terme : 17 janvier 2025
La directive 2022/2556 devra, quant à elle, être transposée par les États membres d’ici le 17 janvier 2025.
Les entités financières et les prestataires de services TIC doivent dès à présent s’y préparer en analysant ces nouvelles exigences et en évaluant leurs impacts opérationnels mais aussi stratégiques.
Notre évaluation du niveau de mise en œuvre, de complexité et d’effort pour les grands groupes
Notre relation privilégiée auprès des institutions financières de la place nous permet d’évaluer le niveau de mise en œuvre, la complexité et l’effort sur chaque pilier.
Nos convictions pour mise en conformité réussie
L’ensemble de l’entreprise est concerné
Cette question doit être abordée avec les parties prenantes extérieures au service informatique, en particulier les parties prenantes de la Direction des Risques et de la Direction Juridique, qui doivent être profondément impliquées pour garantir le succès de la mise en conformité.
La réglementation impose aux sociétés financières de développer spécifiquement leurs propres stratégies de gestion des risques TIC et de développer davantage leurs méthodes opérationnelles.
Une approche « accessible » à la plupart des parties prenantes
Contrairement à la réglementation, les sociétés financières ne partent pas de zéro : des politiques et procédures, formalisées ou non, documentées et/ou conformes, existent.
Ce règlement laisse place à l’interprétation et à la compréhension, ce qui facilite son adaptation aux circonstances pertinentes et, en fin de compte, son application.
D’autres bénéfices sont à saisir liés à l’amélioration de la gestion des risques tiers
Au-delà de la conformité réglementaire, la révision de vos politiques, processus et procédures actuels peut vous aider à mieux contrôler les risques opérationnels et les risques de tiers, par exemple.
La tenue à jour d’un registre d’informations portant sur tous les accords contractuels conclus avec les prestataires de services TIC est une réelle opportunité pour revoir / optimiser / simplifier ses relations partenariales actuelles.
Par ailleurs, de réels gains d’efficacité opérationnelle sont directement liés à la modernisation de la gestion des contrats, via un « Contract Lifecycle Management » permettant d’inclure dans les contrats les clauses standards minimales, notamment en matière de résiliation, mais également d’impacter automatiquement les clauses sujettes aux évolutions réglementaires.
Les principales activités sur lesquelles Bredhill Consulting pour vous aider
Au regard du niveau de maturité actuelle des différents acteurs du marché, nous identifions 3 principaux champs d’actions sur lesquels Bredhill Consulting peut vous aider pour réussir cette mise en conformité :
N’hésitez pas à nous contacter pour en savoir plus !
