Digital Operational Resilience Act
Cet article est une ébauche concernant l’Europe et la sécurité de l'information.
Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.
Digital Operational Resilience Act (DORA) est une règlementation européenne[1] ayant comme but d'accroitre la résilience des organisations face aux cyberattaques. Elle est applicable à partir de .
Historique[modifier | modifier le code]
La Commission européenne publie en une proposition de règlement DORA. En est acté un accord provisoire par la présidence du Conseil et le Parlement européen. Le règlement DORA et la directive associée sont adoptés par le conseil de l'Union en [2]. Le texte DORA niveau 1 est publié par l'UE en , et la règlementation entre en vigueur en .
Ce règlement s'applique à l'ensemble des états membres de l'Union à partir du .
Description[modifier | modifier le code]
DORA a pour objectif de réduire les risques liés à la transformation numérique du secteur financier[3]. Ce cadre réglementaire complète la règlementation NIS 2 qui est plus axé sur la sécurité des entreprises sensibles en termes de données personnelles[4].
DORA règlemente notamment :
- la gestion des risques informatiques,
- la déclaration des incidents majeurs liés aux technologies,
- les tests de résilience opérationnelle informatique,
- la gestion du risque de tiers, avec notamment la supervision directe des prestataires de services « critiques ».
Règlement[modifier | modifier le code]
Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l'information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
Directive[modifier | modifier le code]
La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, etc. afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.
Acteurs concernés[modifier | modifier le code]
Ce règlement s'adresse à l'ensemble des acteurs du secteur financier, bancaire, assurances, infrastructures de marché, ainsi qu'aux prestataires qui fournissent des services à ces entités.
Conséquences[modifier | modifier le code]
Une des conséquences de ce règlement est de rendre les dirigeants responsables de toute négligence informatique[5]. Les banques doivent s'attendre à d'éventuelles actions en justice, notamment lors de fuites de données[6].
Notes et références[modifier | modifier le code]
- Pattison, Andrew. A Guide to the EU Digital Operational Resilience Act, Walter de Gruyter. (ISBN 9781787784536).
- « La réglementation DORA sur la résilience opérationnelle numérique », sur pwc.fr,
- « Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques », sur L'Usine Digitale,
- « Que faut-il savoir sur les législations NIS2 et DORA? », sur jss.fr,
- « DORA rend les dirigeants responsables de toute négligence informatique », sur Les Echos,
- « Cyberattaques : « Les banques doivent s'attendre à être visées par de potentielles actions en justice » », sur Les Echos,
Liens externes[modifier | modifier le code]
