Le règlement européen DORA : les modalités d’entrée en vigueur
Le règlement DORA est déjà entré en vigueur depuis janvier 2023. Néanmoins il sera sanctionnable en janvier 2025. Le règlement européen DORA (Digital Operational Resilience Act) a été adopté en décembre 2022 dans le but de renforcer la résilience informatique opérationnelle des acteurs bancaires et financiers.
Le champ d’application du règlement européen DORA :
Le règlement européen DORA touche 20 000 entités du monde bancaire et financier, telles que les banques, fonds d’investissement, opérateurs de monnaies virtuelles, etc… S’ajoutent à cela 15 000 fournisseurs IT, des banquiers et des assureurs. C’est un total de 35 000 entités qui sont concernées.
Le règlement DORA impose aux entités financières et bancaires « européennes » de se préparer aux cyberattaques. Elles devront prouver qu’elles peuvent se défendre des cyberattaques, mais aussi répondre et se relever suite à celles-ci.
Dans le cadre de la cybersécurité, le règlement DORA impose aux entités de :
- Identifier et cartographier leurs systèmes d’information.
- Évaluer les risques sur leur cybersécurité.
- Mettre en place des mesures de résilience adéquates.
- Se coordonner avec les fournisseurs et clients en cas d’incident.
- Faire des tests de résilience régulièrement.
- Surveiller les fuites de données en sources ouvertes (OSINT).
L’entrée en vigueur du règlement DORA n’aura pas les mêmes conséquences en fonction de la taille de l’entreprise. En effet, les obligations diffèrent en fonction de la taille de l’entreprise. Il existe un DORA simplifié pour les petites et micro-entreprises². Pour celles-ci il y a une gestion du risque simplifiée. Pour toutes les autres entreprises, les tests devront se faire au minimum une fois par an.
Il est également imposé dans le règlement DORA de faire du renseignement de source ouverte sur vos données (RIFI dans l’OSINT). Cela permet de cartographier les données et ainsi, identifier les risques.
Les délais d’application du règlement européen DORA et son entrée en vigueur :
L’entrée en vigueur de DORA représente un changement majeur pour les acteurs du secteur financier. Les entités concernées, telles que les banques, les assurances, les prestataires de services de paiement et les infrastructures de marché, devront se conformer à un ensemble d’exigences assez large. Qu’en est-il des délais d’application ?
Comme nous l’avions mentionné, le règlement DORA entrera en vigueur et sera applicable dès janvier 2025, soit dans moins d’un an. En effet, les autorités européennes proposent un délai de mise en œuvre de 24 mois. Ainsi, en janvier 2025, les entités non conformes pourront être sanctionnées.
Quelles sont les sanctions en cas de non-conformité au règlement DORA ?
Le non-respect des exigences au règlement DORA peut entraîner des sanctions importantes, pouvant atteindre 5 % du chiffre d’affaires annuel mondial de l’entité concernée.
En cas de négligence absolue, La sanction suprême pourrait aller jusqu’au retrait de la licence de travail, soit une impossibilité de travailler, de poursuivre son activité.
L’entrée en vigueur du règlement DORA est une étape importante dans le milieu de la cybersécurité pour la résilience opérationnelle du secteur financier européen au sens large. En se conformant aux exigences de DORA, les acteurs du secteur financier contribueront à protéger les données des clients, à renforcer la confiance dans le système financier et bancaire et à garantir la stabilité du secteur financier européen.