Pourquoi la loi sur la résilience opérationnelle numérique (DORA) est-elle importante ?
Par : Joseph Philipose, responsable des services gérés, iGCB, Intellect Design Arena Ltd.
Le Digital Operational Resilience Act (DORA) pour le secteur financier est une exigence réglementaire qui définit des normes minimales pour les entreprises financières afin de garantir la disponibilité, l'intégrité et la résilience de leurs services et systèmes critiques. Cette loi établirait un cadre réglementaire pour les fournisseurs de services numériques afin de garantir que leurs systèmes et services sont sécurisés, fiables et peuvent continuer à fonctionner en cas de crise.
L'objectif de la loi DORA est de protéger la sécurité nationale, la sécurité publique et l'économie en améliorant la résilience des infrastructures numériques critiques contre les cybermenaces. La loi créerait un nouveau régulateur ayant le pouvoir de faire respecter la loi et d'imposer des sanctions en cas de non-respect, et exigerait des fournisseurs de services qu'ils mettent en œuvre des normes de cybersécurité, qu'ils disposent de solides plans de gestion des incidents, qu'ils évaluent et gèrent les risques liés à la chaîne d'approvisionnement, et qu'ils partagent les informations relatives aux cybermenaces et aux incidents.
Il s'agit d'une initiative législative récemment introduite sur la cybersécurité dans l'Union européenne, ciblant spécifiquement le secteur financier. D'après ce que j'ai compris des exigences, elle est conçue pour compléter les réglementations horizontales actuelles en matière de cybersécurité, telles que la directive sur la sécurité des réseaux et de l'information (DSRI) et le règlement général sur la protection des données (RGPD), largement reconnu.
DORA vs GDPR
Le règlement général sur la protection des données (RGPD) est un ensemble de règles régissant la protection et la confidentialité des données personnelles pour les individus dans l'UE et au Royaume-Uni. Ces règles s'appliquent au traitement des données personnelles dans tous les secteurs.
Si le DORA et le GDPR visent tous deux à assurer la protection et la sécurité des données, ils ont des objectifs et des champs d'application différents. Le DORA vise à assurer la résilience des services financiers, tandis que le GDPR se concentre sur la protection des données personnelles et des droits à la vie privée.
Objectif :
L'Union européenne réagit activement au risque croissant de cyberattaques en mettant en œuvre des mesures visant à renforcer la sécurité informatique des institutions financières, notamment les banques, les compagnies d'assurance et les sociétés d'investissement. L'une de ces mesures est la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA), qui vise à garantir que le secteur financier en Europe puisse maintenir sa résilience face à une perturbation opérationnelle importante.
La loi DORA englobe les fournisseurs tiers de services de technologies de l'information et de la communication (TIC), y compris les plateformes en nuage, l'analyse de données et les services d'audit, qui sont utilisés par les entités financières. Ces fournisseurs de services sont également soumis aux réglementations décrites dans cette nouvelle législation. Elle établit un cadre réglementaire pour la résilience opérationnelle numérique, exigeant de toutes les entreprises qu'elles s'assurent qu'elles ont la capacité de résister, de répondre et de se remettre de toutes les formes de perturbations et de menaces liées aux TIC.
Piliers fondamentaux :
La loi sur la résilience opérationnelle numérique (DORA) fournit un cadre complet de résilience numérique qui couvre plusieurs domaines.
1. Cadre de gestion des risques liés aux TIC : Normes de cybersécurité selon lesquelles les fournisseurs de services seraient tenus de mettre en œuvre des mesures de cybersécurité appropriées pour protéger leurs systèmes et leurs services contre les cybermenaces. Établir et maintenir des systèmes et des outils TIC robustes qui atténuent l'impact des risques liés aux TIC.
2. Gestion, classification et signalement des incidents liés aux TIC : Les fournisseurs de services seraient tenus de mettre en place des plans de gestion des incidents solides pour répondre aux cyberincidents et y remédier.
3. Test de résilience opérationnelle numérique : Toute déficience ou lacune doit être identifiée et traitée rapidement, en fonction de sa gravité, soit en l'éliminant rapidement, soit en mettant en œuvre des mesures correctives appropriées.
4. Gestion des risques liés aux fournisseurs tiers : Les prestataires de services seraient tenus d'évaluer et de gérer les risques posés par leurs fournisseurs, y compris les fournisseurs tiers.
5. Partage d'informations : Les entités financières sont encouragées à partager des informations sur les cybermenaces et les incidents afin d'améliorer la sécurité et la résilience globales de l'infrastructure numérique.
Ces piliers visent à garantir que les infrastructures numériques essentielles sont sécurisées, résilientes et peuvent continuer à fonctionner en cas de crise.
Calendrier :
Le 27 décembre 2022, le Journal officiel de l'Union européenne a publié le texte définitif du Digital Operational Resilience Act (DORA) sous la forme du règlement (UE) 2022/2554.
Source : https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32022R2554
Cette chronologie est tirée d'un article publié par Deloitte.
Cette chronologie est tirée d'un article publié par White & Case LLP.
2022 White & Case LLP
Partager
