Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, également connu sous le nom de la Loi sur la Résilience Opérationnelle Numérique (DORA), a été introduit pour renforcer la résilience opérationnelle numérique dans le secteur financier européen. Avec un degré élevé de numérisation et d’interconnectivité, le secteur financier est exposé à des risques considérables, tant pour les entités financières individuelles que pour la stabilité financière globale. DORA fait partie du paquet financier numérique de l’UE et vise à créer un cadre juridique commun pour rationaliser le paysage juridique fragmenté de l’UE en ce qui concerne les risques liés aux technologies de l’information et de la communication (TIC).
Avant l’introduction de DORA, le secteur financier européen était confronté à des défis croissants en matière de résilience opérationnelle numérique. Les incidents liés aux TIC, tels que les cyberattaques et les pannes systémiques, pouvaient avoir des répercussions graves sur les services financiers et la stabilité du marché. De plus, la diversité des réglementations nationales compliquait la gestion des risques liés aux TIC pour les institutions financières opérant à travers l’UE. DORA a été élaboré pour remédier à ces problèmes en établissant des normes communes et des exigences de reporting pour améliorer la gestion des risques et la préparation aux incidents dans tout le secteur financier européen.
Les principaux objectifs de DORA sont , dans un premier temps de renforcer la résilience opérationnelle numérique en améliorant la capacité des entités financières à faire face aux incidents liés aux TIC et à maintenir leurs opérations de manière efficace et sécurisée pour contribuer ainsi à la stabilité du secteur financier. Dans un second temps d’harmoniser les normes et les pratiques en établissant un cadre juridique commun. Dans un troisième temps DORA cherche à étendre le champ d’action des entités financières concernées en incluant des exigences de reporting plus détaillées sur les incidents liés aux TIC et en encourageant la notification volontaire des cybermenaces importantes.
DORA repose sur 5 principes fondamentaux :
1. Gestion des risques TIC
2. Gestion, classification et reporting des incidents TIC
3. Tests de résilience opérationnelle numérique
4. Gestion des risques liés aux tiers TIC
5. Accords de partage d’informations
DORA représente une bonne pratique dans le domaine de la réglementation financière pour plusieurs raisons. Tout d’abord, il s’agit d’une approche proactive : en exigeant des tests de résilience opérationnelle numérique et en encourageant le partage d’informations sur les cybermenaces, le programme DORA permet de renforcer la résilience du secteur financier. Cela permet d’harmoniser et de simplifier les normes et les pratiques à l’échelle de l’UE, ce qui permet de réduire les coûts et les complexités administratives. De plus DORA améliore la transparence avec des exigences de reporting plus détaillées sur les incidents liés aux TIC et la notification volontaire des cybermenaces importantes.
implcations pour le Luxembourg
Le DORA impose aux entités financières au Luxembourg des règles plus précises pour la gestion des risques liés aux TIC, incluant le reporting des incidents, les tests de résilience et la gestion des risques des tiers. Étant donné la fragmentation actuelle des réglementations TIC, les différences entre les exigences actuelles et celles du DORA varieront selon les entités, entraînant des écarts de mise en œuvre distincts. Chaque entité doit donc analyser ces écarts individuels et commencer la mise en œuvre du DORA dès que possible.