Les autorités de surveillance européennes (ASE) ont publié une deuxième série de produits stratégiques dans le cadre du règlement sur la résilience opérationnelle numérique dans le secteur financier (DORA) de l'UE. Ces dernières orientations sont conçues pour aider les organisations à respecter les exigences du cadre de référence avant que le règlement n’entre en vigueur en janvier 2025.

Dans leur annonce, les ASE décrivent l’ensemble des nouvelles règles : « Cette série se compose de quatre normes techniques de réglementation (RTS) en projet final, d’un ensemble de normes techniques d’exécution (ITS) et de deux orientations, toutes visant à améliorer la résilience opérationnelle numérique du secteur financier de l’UE. »

Les projets finaux de normes techniques comprennent :

• les RTS et ITS sur le contenu, le format, les modèles et les délais de signalement des incidents ou des cyber-menaces significatifs

• les RTS sur l’harmonisation des conditions permettant la conduite des activités de surveillance

• les RTS précisant les critères de détermination de la composition de l’équipe de revue conjointe (JET)

• les RTS sur les tests de pénétration fondés sur la menace

Examinons de plus près les objectifs de DORA, ses dernières exigences et comment les organisations peuvent commencer à se préparer dès maintenant à les satisfaire. 

Qu’est-ce que le règlement DORA et qui doit le respecter ?

Le règlement sur la résilience opérationnelle numérique dans le secteur financier (Digital Operational Resilience Act - DORA), lancé par la Commission européenne en septembre 2020, est la première réglementation qui supervise les fonctions de sécurité des entités financières dans l’Union européenne. Il propose un cadre de référence unifié qui harmonise la gestion du risque lié aux technologies de l’information et de la communication (TIC) dans les 21 types d’entités financières entrant dans son champ d’application.

Ce règlement va entraîner un changement significatif qui aura un impact sur les entités financières de l’UE et d’ailleurs, ainsi que sur tous les prestataires de services tiers dans leurs réseaux étendus. Les organisations précédemment exemptées des normes TIC, notamment les prestataires de services tiers dans les domaines des informations de compte, des crypto-actifs et du reporting de données, sont maintenant soumises au règlement et doivent le respecter.

Quelles sont les prochaines mesures prévues dans le cadre du règlement DORA ?

Les institutions financières devront intégrer les dernières mises à jour du règlement dans leur parcours vers la conformité DORA. Cependant, il est important de noter que les lignes directrices concernant la sous-traitance des services TIC ne sont pas encore finalisées.

Selon la déclaration des ASE, « Le projet final des normes techniques a été soumis à la Commission européenne, qui va maintenant commencer à le revoir dans le but d’adopter ces propositions dans les mois à venir. La RTS restante concernant la sous-traitance sera publié en temps utile. »

Se familiariser avec la conformité DORA

Alors que l’échéance pour être conforme à DORA approche, les entités financières mettent activement la priorité sur leur résilience opérationnelle numérique. OneTrust offre des capacités robustes qui aident à gérer les complexités du risque et de la résilience, permettant aux organisations d’atteindre la conformité en mettant l’accent sur la gestion du risque lié aux TIC et des tiers à grande échelle.

Demandez une démonstration pour découvrir comment OneTrust peut vous aider à être conforme à DORA.