Conformité DORA

La directive DORA (Digital Operational Resilience Act) vise à renforcer la résilience opérationnelle numérique des entités financières dans l’Union européenne. Elle établit un cadre réglementaire qui impose des normes minimales de gestion des risques liés aux technologies de l’information et de la communication (TIC) pour le secteur financier.

DORA cherche à rendre le secteur financier européen plus résilient, sûr et préparé aux défis numériques, tout en limitant les impacts des cyberattaques et des perturbations TIC sur la stabilité financière. Elle représente une réponse proactive de l’UE face à l’évolution rapide des menaces numériques et des dépendances technologiques.

Notre accompagnement pour votre conformité :

Radical-SSI accompagne les entités régulées par le règlement DORA afin qu’elles soient en mesure de poursuivre leurs activités en cas de cyber-attaques ou de pannes amenant une interruption de fonctionnement de leurs systèmes d’information.

Notre accompagnement se fait en 3 phases :

  • Phase Pré-BUILD : quel que soit le niveau envisagé, il est nécessaire avant toute offre complète d’évaluer votre cyber-maturité. Nous commencerons donc par un audit d’hygiène et d’analyse de votre corpus documentaire lié à la cybersécurité. Ces audits permettront de cadrer l’application de ces processus au sein de votre organisation, et de choisir un référentiel technique.
  • Phase BUILD : piloter vos équipes ou de mener pour vous la mitigation nécessaire. Nous mènerons (ou externalisons) également un audit juridique et technique pour vérifier la conformité de vos contrats IT, qu’ils soient en mode SaaS ou On-premises, afin d’assurer qu’ils respectent les meilleures pratiques du marché.
    Ces deux phases permettront d’atteindre une conformité DORA.
  • Phase RUN : suivre l’évolution de votre conformité et valider annuellement votre conformité, tout en remettant à jour le corpus documentaire essentiel.

Pour en savoir plus sur DORA :

L’organisation générale de DORA

En pratique, DORA emporte un certain nombre d’implications stratégiques, dans le but d’améliorer la résilience des entreprises qui y sont soumises et la diffusion d’éléments d’information soit aux Autorités Européennes de Surveillance (AES), soit aux entreprises du secteur.
Il repose sur 5 axes majeurs :

  • Pilier 1 : Le dispositif de gestion des risques liés aux TIC ;
  • Pilier 2 : La gestion et le reporting des incidents TIC et des cybermenaces ;
  • Pilier 3 : Les tests de la résilience opérationnelle numérique ;
  • Pilier 4 : La gestion des risques liés aux prestataires de services TIC ;
  • Pilier 5 : Le partage d’informations en matière de cybersécurité.
Les types d’entreprises concernés par DORA

Le règlement DORA s’applique aux entités suivantes (cette liste est extraite de l’Article 2, “Champ d’application”) :

  • Les établissements de crédit ;
  • Les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
  • Les prestataires de services d’information sur les comptes ;
  • Les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
  • Les entreprises d’investissement ;
  • Certains prestataires de services sur crypto-actifs agréés et certains émetteurs de jetons se référant à un ou des actifs ;
  • Les dépositaires centraux de titres ;
  • Les contreparties centrales ;
  • Les plates-formes de négociation ;
  • Les référentiels centraux ;
  • Les gestionnaires de fonds d’investissement alternatifs ;
  • Les sociétés de gestion ;
  • Les prestataires de services de communication de données ;
  • Les entreprises d’assurance et de réassurance ;
  • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires
  • d’assurance à titre accessoire ;
  • Les institutions de retraite professionnelle ;
  • Les agences de notation de crédit ;
  • Les administrateurs d’indices de référence d’importance critique ;
  • Les prestataires de services de financement participatif ;
  • Les référentiels des titrisations ;
  • Les prestataires tiers de services TIC.
Les entités financières exemptées de DORA

Les entreprises exemptées de DORA incluent principalement :

  1. Petits gestionnaires de fonds d’investissement alternatifs ;
  2. Petites entreprises d’assurance et de réassurance selon la directive Solvabilité II (Directive 2009/138/CE) (voir ici, et particulièrement la section 2) ;
  3. Institutions de retraite avec moins de 15 affiliés ;
  4. Certaines personnes morales ou physiques exemptées sous la directive MiFID II (Directive 2014/65/UE) (voir ici) ;
  5. Microentreprises et PME intermédiaires d’assurance ou de réassurance ;
  6. Offices des chèques postaux définis dans la directive CRD IV (Directive 2013/36/UE) (voir ici) ;
  7. Certaines entités exclues par décision nationale en application de CRD IV.

Cette liste précise garantit que seules les entités financières ayant un impact systémique ou critique sont soumises aux exigences du règlement DORA. Les exemptions visent à alléger la charge pour les plus petites structures.

Quelques éléments “techniques”

DORA est un acte législatif de l’Union européenne qui établit des règles directement applicables et obligatoires dans tous les États membres, sans besoin de transposition dans le droit national.
En pratique, DORA s’applique donc directement et uniformément à toutes les entités financières et prestataires tiers critiques identifiés dans l’ensemble des États membres de l’UE.

Dates d’application de DORA :

  • Entrée en vigueur : 16 janvier 2023, 20 jours après sa publication au Journal officiel de l’Union européenne.
  • Application obligatoire : 17 janvier 2025.

DORA est le Règlement d’exécution (UE) 2022/2554. Vous pouvez trouver son texte ici.