Le Règlement DORA (Digital Operational Resilience Act), adopté en décembre 2022, marque une avancée majeure en matière de cybersécurité et de résilience opérationnelle numérique pour le secteur financier européen. Ce texte vise à garantir que les sociétés de gestion et autres entités financières soient mieux préparées aux cyberattaques et aux perturbations informatiques. Son application est prévue pour le 17 janvier 2025.
Ce règlement s’applique à un large éventail d’acteurs du secteur financier, notamment :
- Les établissements de crédit,
- Les entreprises d’investissement,
- Les plateformes de négociation,
- Les sociétés de gestion de portefeuille (SGP),
- Les prestataires de services de financement participatif,
- Les prestataires de services sur crypto-actifs.
Il couvre également les prestataires tiers fournissant des services TIC (Technologies de l’Information et de la Communication) critiques à ces entités. Un principe de proportionnalité est intégré afin d’adapter les obligations aux tailles et risques des différentes entreprises.
Quelles sont les principales obligations ?
Premièrement, un cadre strict de gestion des risques TIC. En effet, les entités concernées doivent mettre en place une stratégie de résilience opérationnelle. La résilience organisationnelle représente la capacité d’une entreprise à se préparer aux perturbations et aux crises, à s’adapter et à se développer dans un environnement en constante évolution. Cette résilience incluant des politiques de gestion des risques liés aux TIC, de continuité des activités et de réponse aux incidents informatiques.
Deuxièmement, une notification obligatoire des incidents majeurs. Tout incident majeur lié aux TIC doit être déclaré aux autorités compétentes, notamment l’Autorité des marchés financiers (AMF) en France.
Troisièmement, des tests réguliers de résilience opérationnelle doivent être effectués par les acteurs financiers pour évaluer leur vulnérabilité numérique. Certaines entités seront soumises à des tests avancés, comme des tests de pénétration fondés sur la menace.
Quatrièmement, une gestion renforcée des risques liés aux prestataires tiers. Les entités financières doivent intégrer dans leur cadre de gestion des risques les dépendances à des fournisseurs externes de services TIC. DORA impose des exigences contractuelles strictes pour limiter les risques liés aux sous-traitants.
Et cinquièmement, un encouragement au partage d’informations pour les entités financières, notamment à échanger des informations sur les cybermenaces et les vulnérabilités afin de renforcer la cybersécurité collective du secteur.
Les autorités européennes de supervision, comme l’ESMA (Autorité européenne des marchés financiers), l’EBA (Autorité bancaire européenne) et l’EIOPA (Autorité européenne des assurances), travaillent actuellement à l’élaboration de normes techniques pour harmoniser l’application du règlement dans l’Union européenne.
En France, l’AMF appelle les acteurs à anticiper leur mise en conformité et met à disposition des ressources d’accompagnement.
En définitive avec le règlement DORA, l’Europe franchit un cap dans la protection numérique du secteur financier. La mise en conformité exigera des efforts significatifs, mais elle renforcera la sécurité des systèmes d’information, la confiance des investisseurs et la stabilité des marchés financiers. Les sociétés de gestion et autres entités concernées doivent dès à présent se préparer à ces nouvelles exigences pour être en règle dès 2025.
