Le Digital Operational Resilience Act (DORA) est une évolution réglementaire importante visant à améliorer la stabilité opérationnelle des systèmes numériques dans le secteur financier de l’Union européenne (UE). DORA vise à renforcer la cybersécurité dans les services financiers en vue des cyber-risques croissants. Ce règlement est entré en vigueur le 16.1.2023. Avec le Digital Operational Resilience Act (DORA), l’UE veut rendre le secteur financier plus résistant aux perturbations informatiques, ainsi qu’à mieux se protéger des attaques cyber.
DORA viserait à harmoniser les réglementations européennes et nationales et à les rendre potentiellement obsolètes. C’est là que DORA intervient, en facilitant les opérations internationales des entités financières transfrontalières grâce à des règlementations comparables et à la reconnaissance des audits dans toute l’UE.
Exigences essentielles :
DORA établira un cadre juridique européen pour la « stabilité opérationnelle des systèmes numériques du secteur financier ». DORA regroupe en principe les réglementations existantes sur les mesures de sécurité, le système de notification et les audits d’externalisation mais les élargit et les approfondit à certains endroits. Les fournisseurs tiers de services TIC (technologies de l’information et de la communication) seront inclus, donnant ainsi à l’organe de surveillance l'habilité à rendre des décisions obligatoires et les moyens nécessaires pour imposer des normes de stabilité financière par des possibilités d'objections comme des astreintes. En tant que nomenclature pour la sécurité de l’information, DORA aura un effet comparable à celui du RGPD depuis son entrée en vigueur en 2018, dans le domaine de la protection des données à caractère personnel dans les trois dimensions de l’organisation, de la réglementation et de l’informatique dans les entités financières. Alors que le RGPD s’applique à l’ensemble de l’économie et de l’administration mais ne s’adresse qu’à la protection des données à caractère personnel, DORA s’appliquera à toutes les entités financières et à tous les fournisseurs tiers de services TIC – y compris les entités administratives. Ce faisant, DORA vise à protéger toutes les informations, y compris les données à caractère personnel.
Outre le règlement DORA et la directive correspondante, le règlement DORA au niveau de l’UE comprend les actes législatifs ainsi que les lignes directrices, les normes techniques de réglementation (RTS) et les normes techniques d’exécution (ITS) qui doivent être élaborées par les Autorités européennes de surveillance compétentes. Parmi les pays membres de l’Espace économique européen, un grand nombre de pays, dont l’Allemagne, interprètent pourtant ces directives au niveau national.
DORA regroupe les exigences en matière de sécurité dans le secteur financier, élargit le cercle des objets de surveillance et pose des exigences nouvelles et plus rigoureuses dans certains domaines de sécurité.
Contenu de DORA
Alors que les trois chapitres « Exigences en matière de gestion des risques liés aux TIC », « Notification des incidents liés aux TIC » et « Contrôle de la stabilité opérationnelle numérique » s’adressent aux entités financières, le bloc d’articles « Contrôle des risques liés aux fournisseurs tiers de services TIC, » régit également les fournisseurs de technologie.
Les fournisseurs de services tels qu’adesso doivent notamment se pencher sur les exigences contractuelles étendues que DORA impose aux accords d’externalisation contractuels entre les compagnies d’assurances et les fournisseurs tiers de services TIC.
En outre, les fournisseurs tiers de services TIC doivent également être impliqués à l’avenir par des tests de pénétration réalisées selon une approche fondée sur les risques.
DORA : Mise en œuvre pour les compagnies d'assurances et les fournisseurs tiers de services TIC
DORA contient de nombreuses directives qui sont en grande partie congruentes avec des régulations déjà connues telles que MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT, EBA-Guidelines on Outsourcing Arrangements et EBA-Guidelines on ICT and Security Risk Management. DORA contient toutefois aussi quelques divergences ou précisions et compléments par rapport à ces régulations. Dans l’ensemble, les exigences élargies entraînent un effort de mise en œuvre considérable dans le secteur financier.
L’ampleur individuelle dépend ici de la taille et des risques du modèle commercial ainsi que du degré de maturité de la résilience opérationnelle numérique de chaque compagnie d'assurances concernée.
Les compagnies d'assurances devraient donc utiliser le temps restant jusqu’à l’application du règlement DORA et se pencher suffisamment tôt, dans le sens d’une analyse des écarts, sur la mise en œuvre des exigences DORA et sur leur propre résilience opérationnelle numérique actuelle.
En outre, il est recommandé de s’orienter sur les exigences VAIT actuelles. Les résultats de la pratique d’audit VAIT en vigueur ainsi que le suivi des initiatives actuelles de l’ABE/BCE fournissent une orientation supplémentaire. Dans ce contexte, il est vivement recommandé d’ancrer et d'implémenter directement et efficacement les audits VAIT dans l’entreprise.
En ce qui concerne les tests d’intrusion requis, la pratique courante des exercices d’urgence pour la planification de la continuité des activités est recommandée. Dans ce contexte, un examen de la protection et de la sécurité des données est également nécessaire.
Il convient également de noter que, conformément au considérant 16, le règlement DORA constitue une Lex specialis par rapport à la directive (UE) 2022/2555 (directive NIS2), étant donné que DORA accroît également l’harmonisation au sein de l’UE en ce qui concerne les différentes composantes de la résilience numérique en introduisant des exigences en matière de gestion du risque lié aux TIC et de notification des incidents liés aux TIC, qui sont plus strictes que celles appliquées jusqu’à présent dans la législation sur les services financiers.
Conclusion :
DORA sera obligatoirement appliqué dans tous les États membres de l’UE à partir de janvier 2025. Les compagnies d'assurances devraient se préparer de manière proactive à l’introduction de DORA :
Parlons de la manière dont les logiciels d'assurance modernes aident à réaliser l'assurance innovatrice tout en contribuant au respect des exigences réglementaires. Notre expert Karsten Schmitt, Head of Business Development, attend votre message et vous conseillera avec plaisir.