DORA : loi européenne sur la résilience opérationnelle numérique

30/10/2023

DORA est l’un des éléments clés du package finance digitale de l'Union européenne (UE) ou "Digital finance package" dont le but est de soutenir la transformation numérique et l’innovation du secteur financier ainsi que l'utilisation de nouveaux produits financiers dans l'UE, tout en préservant l'intégrité du marché, la stabilité financière et la protection des investisseurs.

Quel est l’objectif de DORA ?

Ce cadre réglementaire européen s'attaque aux risques posés par la transformation numérique des services financiers, par le nombre de cyber-attaques subies par les acteurs financiers et l’interconnexion croissante des infrastructures critiques et des réseaux.

Son objectif principal est d'harmoniser les exigences au niveau des états membres de l’UE pour garantir que tous les acteurs financiers disposent des garanties nécessaires pour atténuer les cyber-attaques et les autres risques liés aux technologies de l'information et de la communication (TIC).

En bref, le règlement DORA définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux TIC et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.

Cette initiative est en cohérence avec la stratégie de la Commission européenne en matière de finance digitale qui vise à favoriser l’adoption de nouvelles technologies innovantes tout en assurant la stabilité financière et la protection des consommateurs.

Avec la loi DORA, l’approche de la notion de résilience opérationnelle évolue : tous les prestataires de services financiers doivent anticiper les risques et perturbations numériques. Ils doivent aussi prouver que leur organisation peut résister à des crises informatiques et que la stabilité opérationnelle des systèmes numériques est assurée. Ils doivent avoir la capacité à lutter contre les cyber-risques et pouvoir agir en cas d'urgence.

De quoi se compose ce nouveau cadre réglementaire ?

Il se compose de deux actes législatifs, un règlement et une directive :

  • Le règlement (UE) 2022/2554 du Parlement et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (DORA).

  • La directive (UE) 2022/2556 du Parlement et du Conseil du 14 décembre 2022. Cette directive a pour objectif de mettre en cohérence les directives existantes, telles que CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2 et AIFM, avec le règlement DORA.

Pour la première fois en Europe, DORA apporte un cadre détaillé sur la résilience opérationnelle numérique pour les entités financières. Ce cadre prévoit également la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE.

Quel est le calendrier ?

La loi DORA est entrée en vigueur le 16 janvier 2023. En janvier 2025, les institutions financières et les fournisseurs tiers de TIC devront satisfaire à ces nouvelles exigences en matière de stabilité opérationnelle des systèmes numériques.