Le 14 décembre 2022 le Règlement n° 2022/2554 du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier, encore nommé Digital Operational Resilience Act – DORA), a été adopté.

S’agissant d’un règlement il il est entré en application le 17 janvier 2025.

Dans ce cadre, nous avons souhaité, par le biais de plusieurs articles, vous présenter dans le détail ce nouveau texte, afin de permettre aux acteurs concernés de se mettre en conformité.

Objet de DORA 

DORA définit les exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières.

L’objectif de cette uniformisation est d’assurer la résilience des systèmes des entités financières auxquelles les exigences s’appliquent. Ce qui implique de garantir et réévaluer l’intégrité et la fiabilité opérationnelles des systèmes, protocoles et outils mis en place. Cela passe par le fait d’assurer directement ou indirectement l’intégralité des capacités liées aux technologies de l’information et de la communication (TIC) nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tend la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations^[1].

Ces garanties sont apportées par le recours aux services fournis par des prestataires tiers de services TIC dont la relation avec l’entité financière doit faire l’objet d’un encadrement contractuel rigoureux. 

Ces exigences ne sont pas nécessairement à respecter sur la base d’une obligation de résultat. Mais il convient par ces mesures d’assurer par tous moyens que les réseaux et les systèmes d’information sont capables de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles^[2].

C’est donc dans ce mouvement initié déjà depuis de longues années que l’Union européenne protège encore plus efficacement les systèmes des entités financières. 

Les acteurs impliqués par DORA

DORA s’applique à tous types d’entités financières allant de l’établissement de crédit aux prestataires tiers de services TIC agissant pour une entité financières en passant par les entreprises d’assurance, de réassurances, d’intermédiaire d’assurance :

Les entités du secteur bancaires, assurantiel et financier sont dénommées entités financières dans le cadre de DORA.

Il convient de noter que les entités suivantes ne sont pas concernées par DORA :

Ces exclusions s’expliquent en général par la taille économique des personnes morales concernées.

Les grands corps d’exigences fixés par DORA

Permettre la résilience opérationnelle numérique des entités financières passe par quatre grands corps d’exigences.

1. Les exigences applicables aux entités financières en ce qui concerne :

• la gestion des risques liés aux TIC ;
• la notification aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes ;
• la notification aux autorités compétentes, par les entités financières du secteur bancaire des incidents opérationnels ou de sécurité majeurs liés au paiement ;
• les tests de résilience opérationnelle numérique ;
• le partage d’information et de renseignement en rapport avec les cybermenaces et les cyber-vulnérabilités ;
• les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC.

2. Les exigences relatives aux accords contractuels conclus entre des prestataires tiers de services TIC et des entités financières.

3. Les règles relatives à l’établissement du cadre de supervision applicable aux prestataires tiers critiques de services TIC lorsqu’ils fournissent des services à des entités financières ainsi que celles liées à l’exercice des tâches dans ce cadre.

4. Les règles relatives à la coopération entre les autorités compétentes et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par DORA.

En somme, DORA implique d’AGIR en mettant en place des mesures ; d’ENCADRER les relations avec le prestataire qui permet la mise en œuvre des mesures ; de SUPERVISER la mise en œuvre de ces mesures ; de se voir CONTRÔLER l’exécution des mesures par les autorités de contrôle. L’objectif est donc de satisfaire à tous les niveaux au respect des exigences. 

Le respect du principe de proportionnalité

Notons le caractère pragmatique de ce règlement car l’ensemble des exigences et règles prévues dans le cadre de DORA, implique le respect du principe de proportionnalité. 

Il signifie d’une part pour l’entité financière ou le prestataire de services TIC que la gestion des risques tiennent toujours compte de la taille, du profil de risque global, de la nature, de l’ampleur et de complexité des services, activités ou opérations (critère de proportionnalité) mise en œuvre par l’entité à laquelle l’exigence s’applique.

Dans ce cadre, les systèmes, protocoles, et outils de TIC doivent être adaptés à l’ampleur des opérations qui sous-tendent l’exercice de l’activité des entités financières^[3]. Il en est de même de la gestion des risques applicables aux prestataires de services TIC^[4].

Toutes les structures n’ont donc pas à respecter le même niveau d’exigences. 

D’autre part, ce principe implique pour les autorités de contrôles de tenir compte de ces critères de proportionnalité avant de contrôler la cohérence du cadre de gestion du risque lié aux TIC.

DORA définit un cadre général de mesures à mettre en place (art. 5 à 15). Cependant certaines entités respecteront un cadre simplifié définit à l’article 16 de DORA qui est notamment expurgé de certaines exigences particulièrement lourdes. 

Il est à noter que certaines entités nommément désignées bénéficient déjà de ce cadre simplifié : établissements de paiement exemptés, établissements de monnaie électronique exemptés, petites entreprises d’investissement non interconnectés, petites institutions de retraite professionnelle. 

Sanctions

DORA ne prévoit pas directement les sanctions pécuniaires que les autorités de contrôle doivent appliquer. 

Son article 50 établit néanmoins que les autorités de contrôle peuvent notamment enjoindre l’entité de cesser les conduites contraires au règlement, publier une décision de sanction, ou encore adopter tous types de mesures, y compris de nature pécuniaire propre à garantir que les entités financières continueront à respecter leurs obligations légales^[5].

Dans ce cadre, les autorités compétentes peuvent aller jusqu’à retirer à l’entité financière en cause l’agrément lui permettant d’exercer. Les sanctions apparaissent donc particulièrement étendues et permettront à l’autorité de contrôle d’agir de façon suffisamment efficace. 

Des règles précises de sanction sont en cours d’élaboration par les Etats membres. À ce stade, en France un projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité a été déposé le 15 octobre 2024 qui a pour objet de modifier par ces articles 43 et s. le Code monétaire et financier. A ce stade il semble cependant qu’aucune sanction particulière ne semble avoir été édictée en cas de non-conformité DORA par la loi. 

Dans le cadre du cycle « Guide pour la mise en application du règlement DORA » expliquant le cadre légal de cette nouvelle réglementation qui entre en application le 17 janvier 2025, nous abordons les six thèmes suivants :

• #1 Dispositions générales : qu’est-ce que le règlement DORA ? De quoi est-ce qu’il est question ? À qui s’applique-t-il ? Quel est le risque en cas de non-conformité ? 
• #2 Les exigences que DORA impose en matière de gestion du risque lié aux TIC
• #3 Les règles de gestion, de classification et de notification des incidents liés aux TIC
• #4 Les tests de résilience opérationnelle numérique
• #5 La gestion des risques liés aux prestataires tiers de services TIC
• #6 Le partage d’information et les autorités compétentes

Le département Contrats informatiques, données & conformité peut vous accompagner dans la mise en conformité DORA.

Pour toute question, n’hésitez pas à nous contacter.

^[1] Dora, art. 3 “Définitions”

^[2] Dir.(UE) 2022/2555, art. 6 2). 

^[3] DORA, art. 7. 

^[4] DORA, art. 28. 

^[5] DORA, art. 50.