Digital Operational Resilience Act

Digital Operational Resilience Act (DORA) est une règlementation européenne^[1] ayant comme but d'accroitre la résilience des organisations face aux cyberattaques. Elle est applicable à partir de janvier 2025.

Historique

La Commission européenne publie en septembre 2020 une proposition de règlement DORA. En mai 2020 est acté un accord provisoire par la présidence du Conseil et le Parlement européen. Le règlement DORA et la directive associée sont adoptés par le conseil de l'Union en novembre 2022^[2]. Le texte DORA niveau 1 est publié par l'UE en décembre 2022, et la règlementation entre en vigueur en janvier 2023.

Ce règlement s'applique à l'ensemble des états membres de l'Union à partir du 17 janvier 2025.

Description

DORA a pour objectif de réduire les risques liés à la transformation numérique du secteur financier^[3]. Ce cadre réglementaire complète la règlementation NIS 2 qui est plus axé sur la sécurité des entreprises sensibles en termes de données personnelles^[4].

DORA règlemente notamment :

• la gestion des risques informatiques,
• la déclaration des incidents majeurs liés aux technologies,
• les tests de résilience opérationnelle informatique,
• la gestion du risque de tiers, avec notamment la supervision directe des prestataires de services « critiques ».

Règlement

Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l'information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.

Directive

La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, etc. afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.

Acteurs concernés

Ce règlement s'adresse à l'ensemble des acteurs du secteur financier, bancaire, assurances, infrastructures de marché, ainsi qu'aux prestataires qui fournissent des services à ces entités.

Conséquences

Une des conséquences de ce règlement est de rendre les dirigeants responsables de toute négligence informatique^[5]. Les banques doivent s'attendre à d'éventuelles actions en justice, notamment lors de fuites de données^[6].

Notes et références

1. Pattison, Andrew. A Guide to the EU Digital Operational Resilience Act, Walter de Gruyter. (ISBN 9781787784536).
2. « La réglementation DORA sur la résilience opérationnelle numérique », sur pwc.fr, 2024
3. « Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques », sur L'Usine Digitale, 19 février 2024
4. « Que faut-il savoir sur les législations NIS2 et DORA? », sur jss.fr, 23 mai 2024
5. « DORA rend les dirigeants responsables de toute négligence informatique », sur Les Echos, 13 mai 2024
6. « Cyberattaques : « Les banques doivent s'attendre à être visées par de potentielles actions en justice » », sur Les Echos, 19 avril 2024

Liens externes

• https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52020PC0595

•   Portail de l’Europe
•   Portail de la sécurité de l’information