Digital Operational Resilience Act (DORA)

Le Digital Operational Resilience Act (DORA) est un règlement établi par le Parlement européen et le Conseil pour renforcer la résilience opérationnelle numérique du secteur financier. Il vise à garantir que les entités financières puissent résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux TIC. Le règlement aborde la numérisation et l’interconnexion croissantes des services financiers, qui rendent le secteur plus vulnérable aux cybermenaces et aux perturbations des TIC.

Les principaux aspects de DORA comprennent :

  • Gestion des risques liés aux TIC : les entités financières doivent mettre en œuvre des cadres complets de gestion des risques liés aux TIC pour traiter et atténuer les risques liés aux TIC.
  • Rapports d’incidents : les entités financières sont tenues de signaler les incidents majeurs liés aux TIC aux autorités compétentes.
  • Tests de résilience opérationnelle numérique : tests réguliers des systèmes TIC pour identifier les vulnérabilités et garantir l’état de préparation.
  • Gestion des risques liés aux tiers liés aux TIC : les entités financières doivent gérer les risques associés aux fournisseurs de services tiers liés aux TIC.
  • Cadre de surveillance : établissement d’un cadre de surveillance pour les fournisseurs de services tiers critiques liés aux TIC afin de garantir qu’ils respectent les normes de résilience.
  • Partage d’informations : encouragement du partage d’informations entre les entités financières pour renforcer la résilience collective face aux cybermenaces.

Exigences DORA

  • Gouvernance et organisation :
    • Établir un cadre de gouvernance et de contrôle interne pour la gestion des risques liés aux TIC.
    • Définir les rôles et les responsabilités des fonctions liées aux TIC.
    • Allouer un budget approprié aux besoins de résilience opérationnelle numérique.
  • Cadre de gestion des risques liés aux TIC :
    • Élaborer et maintenir un cadre complet de gestion des risques liés aux TIC.
    • Documenter et réviser le cadre chaque année ou après des incidents majeurs.
    • Attribuer la responsabilité de la gestion des risques liés aux TIC à une fonction de contrôle.
  • Systèmes, protocoles et outils TIC :
    • Utiliser et maintenir des systèmes et des outils TIC à jour.
    • Veiller à ce que les systèmes soient fiables, sécurisés et capables de gérer les pics de charge charges.
  • Identification et classification :
    • Identifier et documenter toutes les fonctions et actifs commerciaux pris en charge par les TIC.
    • Effectuer des évaluations régulières des risques et tenir à jour les inventaires des actifs TIC.
  • Protection et prévention :
    • Mettre en œuvre des politiques et procédures de sécurité des TIC.
    • Assurer la protection des données et minimiser les risques de perte de données ou d’accès non autorisé.
  • Détection :
    • Établir des mécanismes pour détecter les anomalies et les incidents TIC.
    • Testez régulièrement les mécanismes de détection.
  • Réponse et reprise :
    • Élaborer des plans de continuité et de reprise des activités TIC.
    • Tester et réviser ces plans régulièrement.
    • Maintenir des capacités TIC redondantes.
  • Sauvegarde et restauration :
    • Mettre en œuvre des politiques et des procédures de sauvegarde.
    • Assurer une restauration sécurisée et rapide des données.
  • Apprentissage et évolution :
    • Effectuer des examens post-incident et intégrer les leçons apprises.
    • Surveiller les évolutions technologiques et mettre à jour les processus de gestion des risques TIC.
  • Communication :
    • Établir des plans de communication de crise pour les incidents liés aux TIC.
    • Mettre en œuvre des politiques de communication interne et externe.
  • Rapport d’incident :
    • Signaler les incidents majeurs liés aux TIC incidents aux autorités compétentes.
    • Avertir les clients des incidents affectant leurs intérêts financiers.
  • Tests de résilience opérationnelle numérique :
    • Effectuer des tests réguliers des systèmes TIC, y compris des tests avancés comme les tests de pénétration dirigés par les menaces (TLPT).
  • Gestion des risques liés aux tiers TIC :
    • Gérer les risques associés aux fournisseurs de services TIC tiers.
    • Tenir un registre de tous les fournisseurs de services TIC tiers.
    • Veiller à ce que les accords contractuels incluent les dispositions nécessaires en matière de sécurité et de résilience.
  • Cadre de surveillance :
    • Les fournisseurs de services TIC tiers critiques sont soumis à la surveillance des autorités désignées.
    • Évaluations et recommandations régulières pour garantir le respect de la résilience normes.
  • Partage d’informations :
    • Participer aux accords de partage d’informations pour renforcer la résilience collective.
Ces exigences visent à créer un cadre solide pour la gestion des risques liés aux TIC, garantissant que les entités financières peuvent maintenir leur résilience opérationnelle face aux menaces et aux perturbations numériques.

Avez-vous besoin d’aide pour la mise en œuvre de DORA ?

Nous pouvons vous aider avec cela.

Cliquez ici