Comment se préparer à la loi sur la résilience opérationnelle numérique (DORA) ?

Qu'est-ce que DORA ?

DORA, ou Digital Operational Resilience Act, est un règlement européen qui vise à renforcer la résilience numérique des organisations financières. L'objectif est d'assurer la continuité des processus critiques au sein de ces organisations par une meilleure gestion des risques informatiques et une plus grande résilience face aux cybermenaces.

DORA se compose de trois éléments : un règlement (niveau 1), des normes techniques (niveau 2) et des lignes directrices (niveau 3). L'élaboration des normes techniques et des lignes directrices est divisée en deux phases. La première phase a été soumise à la Commission européenne pour adoption en janvier 2024. La deuxième phase était ouverte à la consultation publique jusqu'au 4 mars 2024 et comprenait des normes pour le signalement d'incidents graves liés aux TIC et les tests de pénétration guidés par la menace (TLPT). Cette phase doit être soumise à la Commission européenne pour le 17 juillet 2024.

À qui s'adresse DORA ?

La loi DORA s'applique à un large éventail d'institutions financières, notamment les suivantes:

• Banques

• Sociétés d'investissement

• Fonds de pension

• Établissements de monnaie électronique

• Sociétés d'assurance et de réassurance

• Etablissements de paiement

• Fournisseurs de services de crowdfunding

DORA s'applique également aux fournisseurs de services liés aux TIC de ces institutions financières. Le champ d'application complet de DORA peut être consulté ici.

Les piliers fondamentaux de DORA

DORA se concentre sur cinq domaines essentiels pour améliorer la cybersécurité :

1. Gestion des risques liés aux TIC
   Les organisations doivent mettre en œuvre un cadre complet de gestion des risques liés aux TIC, avec des stratégies et des procédures documentées.
   

2. Gestion, classification et signalement des incidents liés aux TIC
   Un plan efficace de réponse aux incidents est nécessaire pour réagir rapidement aux incidents de cybersécurité.
   

3. Test de résilience opérationnelle numérique
   Des tests réguliers sont obligatoires pour évaluer l'efficacité des mesures de sécurité.
   

4. Gestion des risques liés aux TIC pour les tiers
   Les entités financières doivent élaborer une stratégie de gestion des risques liés aux TIC lorsqu'elles utilisent des services de tiers.
   

5. Partage d'informations et de renseignements
   DORA encourage la coopération et le partage d'informations entre les institutions financières, les fournisseurs de services informatiques et les régulateurs.

Sanctions

Des sanctions financières peuvent intervenir en cas de violation de la loi DORA. Les détails de ces sanctions sont déterminés par les autorités nationales. Dans le cadre de NIS2, les amendes peuvent s'élever à 2 % du chiffre d'affaires mondial. En vertu de NIS2 et de DORA, les membres de la direction peuvent faire l'objet de poursuites pénales pour négligence. De plus amples informations sur NIS2 sont disponibles ici.

Quelles mesures pour s’y préparer?

Bien que certaines informations ne seront disponibles que plus tard en 2024, il est important que les institutions financières prennent d'ores et déjà autant de mesures que possible pour se préparer.

Étape 1 : Comprendre les processus et les systèmes

Déterminez quels services commerciaux dépendent de quels processus et systèmes, et quelles sont les données impliquées.

Étape 2 : Cartographier les risques liés aux TIC

Mettez en place un cadre de gestion des risques liés aux TIC ou évaluez votre cadre existant pour vous conformer à la loi DORA.

Étape 3 : Procéder à une "évaluation des lacunes" (Gap Assessment).

Vérifiez si votre cadre actuel répond aux nouvelles exigences DORA et identifiez les éventuelles lacunes.

Étape 4 : Gérer les risques liés aux tiers

Dressez la liste de tous vos fournisseurs et parties tierces et assurez-vous que vous disposez d'une stratégie de gestion des risques liés aux TIC pour les tiers.

Étape 5 : Mettre en place un processus abouti de gestion des incidents

Veillez à ce que le processus de gestion des incidents soit bien rodé et permette de réagir rapidement et d'informer les autorités de surveillance.

Étape 6 : Disposer d’un programme de test solide

Mettez en œuvre un programme de test de la résilience opérationnelle numérique qui couvre tous les systèmes informatiques critiques et les soumet à des tests réguliers.

Suivre ces étapes permettra à votre organisation de se préparer au respect de la réglementation DORA et d’améliorer sa résilience numérique. Prêt à commencer ? Contactez-nous dès aujourd'hui pour obtenir plus d'informations et un soutien dans la mise en œuvre de DORA au sein de votre organisation.

• Vandelanotte peut vous aider à déterminer dans quelle mesure la législation DORA s'applique à votre organisation ;

• Nous pouvons vous aider en vous proposant des logiciels pour numériser et automatiser la gestion des risques informatiques.

• Nous pouvons effectuer une analyse des lacunes pour évaluer le niveau actuel de cybersécurité et de résilience ;

• Nous pouvons vous aider à mettre en œuvre les politiques, les procédures et les contrôles de sécurité nécessaires pour respecter la législation DORA.