Skip to content

Règlementation DORA : comment se mettre en conformité ?

La règlementation Dora a pour objectif d’harmoniser les dispositions relatives à la résilience opérationnelle numérique dans l’ensemble du secteur financier de l’Union Européenne, découvrez comment se mettre en conformité dans cet article.

Confluence Conseil, le - # Réalisations

Sommaire

  • Contexte de la réglementation DORA,
  • Qu'est ce que DORA ?
  • Les dates clés de DORA,
  • A qui s'applique DORA ?
  • Les 5 piliers de DORA,
  • Les risques de sanction,
  • Méthodologie de mise en conformité DORA,
  • Les défis de la mise en conformité DORA.

Contexte de la réglementation DORA

L’évolution des technologies de l'Information et de la Communication (TIC) permet de faire face à la concurrence et maintenir la compétitivité des acteurs européens en particulier sur le secteur financier.

Cet essor s’accompagne d’un risque cyber croissant, et l’interconnexion des systèmes accentue le risque d’incident en cascade à l’ensemble du réseau.

La nécessité de la numérisation des échanges et de l’interconnexion des systèmes s’accompagne d’un besoin accru de sécurité.

C’est dans ce contexte que l’Union Européenne met en place la règlementation Dora, afin d’harmoniser les règlementations en cours et d’uniformiser les moyens mis en œuvre pour assurer la sécurité et la stabilité des entités financières européennes.

Qu'est ce que DORA ?

La règlementation Dora a pour objectif d’harmoniser les dispositions relatives à la résilience opérationnelle numérique dans l’ensemble du secteur financier de l’Union Européenne.

Pour accompagner la mise en œuvre opérationnelle de Dora, deux consultations publiques des Autorités Européennes de Surveillances (AES) ont eu lieu en 2024 concernant la mise en application de différents articles de la règlementation.

Un premier lot de normes technique de règlementation et d'implémentation (RTS/ITS) a été soumis pour une première consultation, et les textes définitifs ont été publiés en janvier 2024.

La publication des textes définitifs issus de la consultation du second lot de RTS/ITS et lignes directrices (GL) date du 17 juillet 2024.

Les dates clés de DORA

  • Règlementation DORA initiée en 2020,
  • Adoptée en novembre 2022, publié au journal officiel en décembre 2022,
  • Entrée en vigueur le 16 janvier 2023,
  • Publications des textes définitifs le 17 juillet 2024,
  • Application à partir du 17 janvier 2025.

A qui s'applique DORA ?

La règlementation Dora s’applique aux acteurs des marchés financiers dont la liste est précisée dans l’article 2 de la règlementation, on y retrouve notamment :

  • Les établissements de crédit, de paiement, les entreprises d’investissement,
  • Les Entreprise d'Assurance et de Réassurance, ainsi que leurs intermédiaires,
  • Les institutions de retraite professionnelle, les sociétés de Gestion,
  • Les fournisseurs de services TIC tiers …

Les 5 piliers de la règlementation DORA

  1. Cadre de la gestion du risque : Poser un cadre de gestion du risque liés aux TIC.
  2. Gestion des incidents majeurs : Identifier rapidement les incidents majeurs liés aux TIC et informer les autorités compétentes.
  3. Eprouver son système d’information : Le système d’information doit être en capacité de résister aux attaques et d’y faire face.
  4. Gestion du risque des prestataires tiers de services TIC : Mise en place d'un cadre de surveillance.
  5. Informations partagées entre acteurs financiers : Partage de l'information opérationnelle quant aux menaces et aux vulnérabilités.

Les risques de sanction

La règlementation DORA entre en application à partir du 17 janvier 2025, date à laquelle les entités financières doivent être en mesure d’être auditées au titre de cette règlementation.

Les autorités compétentes ont le pouvoir d’appliquer des sanctions administratives ou des mesures correctives en cas de manquement à la règlementation, en tenant compte notamment de l’intentionnalité, de la gravité du manquement.

Méthodologie de mise en conformité

Etat des lieux : Diagnostique et Organisation

  • Identifier les acteurs internes,
  • Mettre à jours les procédure,
  • Identifier les actifs, les tiers intervenants,
  • Définir les seuils d'alerte et les criticités.

Suivi :

  • de l'activités des systèmes,
  • des corrections,
  • des projets d'évolutions,
  • des incidents,
  • des tiers et prestataires.

Information et communication

  • Sensibilisation en interne,
  • Normalisation de la communication,
  • Signalisation des incident,
  • Informations des vulnérabilités et des menaces.

Résilience

  • Stratégie de résilience
  • Contrôle interne
  • Plan de continuité
  • Organisation des tests de résilience
  • Veille technologique et logicielle
  • « Dora » by design 

Les défis de la mise en conformité

La règlementation Dora intervient sur les systèmes identifiés comme critiques au sein des sociétés, elle implique l’ensemble des parties prenantes de l’entreprise, depuis la direction jusqu’aux différents services internes œuvrant au moyen des TIC, et elle englobe l’ensemble des actifs de l’entité, à la fois matériel et soft.

Les défis à relever pour appliquer la règlementation sont variables selon l’axe de la règlementation abordé, de divers niveaux et de diverses complexités.

Confluence Conseil, avec ses consultants experts des métiers de la Banque et l'Assurance, peut accompagner votre entreprise à la fois sur l'acculturation à la règlementation DORA et dans votre mise en conformité à la règlementation DORA.

Vous souhaitez en savoir d'avantage ?

Contactez-nous !

Publications récentes

Remplacer un outil de gestion sur-mesure par un outil du marché : Méthode et exemple.

Confluence Conseil, il y a

Comment remplacer un outil sur-mesure par une solution du marché ? Réponse dans cet article.

# Réalisations
En voir plus
Lyon - Clermont-Ferrand
© 2016 - 2020 Confluence Conseil
Mentions LégalesCookies