0257880101

Le règlement DORA, que prévoit-il ?

Compte février 2, 2024

Le règlement DORA, que prévoit-il ?

Le règlement DORA pour “Digital Operational Resilience Act” est un règlement qui prévoit des dispositions en terme de “cybersécurité et de gestion des risques informatiques pour un grand nombre d’entités financières“. 

Voici le lien vers ledit règlement : règlement DORA

Le Digital Operational Resilience Act (DORA) est un règlement européen entré en vigueur le 16 janvier 2023 et applicable à partir du 17 janvier 2025.

Le secteur financier dépend de plus en plus de la technologie et des entreprises technologiques pour fournir des services financiers. Cela rend les entités financières vulnérables aux cyberattaques ou incidents. Lorsqu’ils ne sont pas gérés correctement, les risques liés aux TIC peuvent entraîner des perturbations des services financiers offerts au-delà des frontières. Cela peut à son tour avoir un impact sur d’autres entreprises, secteurs et même sur le reste de l’économie. 

Voici ce que nous dit l’introduction du règlement : “À l’ère numérique, les technologies de l’information et de la communication (TIC) sous-tendent les systèmes complexes qui sont utilisés dans les activités quotidiennes. Elles contribuent à la bonne marche de nos économies dans des secteurs clés, tels que le secteur financier, et améliorent le fonctionnement du marché intérieur. Le degré croissant de numérisation et d’interconnexion accentue également le risque lié aux TIC, ce qui expose davantage la société dans son ensemble, et le système financier en particulier, aux cybermenaces ou aux dysfonctionnements des TIC.

Ce règlement a donc une visée sécuritaire, soit placer des règles visant la résilience (mot très à la mode) du système financier. Plus factuellement, le règlement place la barre encore plus haut dans le corpus réglementaire applicable aux entités exerçant une activité financière concernant la sécurité relative à l’utilisation de leurs systèmes d’information.

A qui s’applique le règlement DORA ?

L’article 2 nous dit que le règlement s’applique aux : 

– établissements de crédit;
– établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive
(UE) 2015/2366;
– prestataires de services d’information sur les comptes;
– établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE;
– les entreprises d’investissement;
– les prestataires de services sur crypto-actifs agréés en vertu du règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs, et modifiant les règlements (UE)1093/2010 et (UE) 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (ci-après dénommé «règlement sur les marchés de crypto-actifs») et les émetteurs de jetons se référant à un ou des actifs;
– dépositaires centraux de titres;
– contreparties centrales;
–  plates-formes de négociation;
– référentiels centraux;
– gestionnaires de fonds d’investissement alternatifs;
– sociétés de gestion;
–  prestataires de services de communication de données;
– entreprises d’assurance et de réassurance;
– intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire;
– institutions de retraite professionnelle;

-agences de notation de crédit;
– administrateurs d’indices de référence d’importance critique;
– prestataires de services de financement participatif;
– référentiels des titrisations;
– prestataires tiers de services TIC.

 

Les IOBSP ne semblent pas touchés par le règlement, mais les structures IAS et entreprises d’assurance et réassurance semblent concernés. 

 

Le paragraphe 3 précise que ces personnes ne sont pas concernées : “gestionnaires de fonds d’investissement alternatifs visés à l’article 3, paragraphe 2, de la directive 2011/61/UE; entreprises d’assurance et de réassurance visées à l’article 4 de la directive 2009/138/CE;  institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze
affiliés au total; personnes physiques ou morales exemptées en vertu des articles 2 et 3 de la directive 2014/65/UE;  intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des microentreprises ou des petites ou moyennes entreprises ;  offices des chèques postaux visés à l’article 2, paragraphe 5, point 3), de la directive 2013/36/UE.

 

 

Que prévoit le règlement DORA en termes d’exigences de sécurité ?

La 1ère section du règlement porte sur le cadre à apporter à la gestion des risques liés au TIC (technologies de l’information et de la communication). 

Il est précisé à l’article 6 que “Le cadre de gestion du risque lié aux TIC englobe au moins les stratégies, les politiques, les procédures, les protocoles et les outils de TIC qui sont nécessaires pour protéger dûment et de manière appropriée tous les actifs informationnels et les actifs de TIC, y compris les logiciels, le matériel informatique, les serveurs, ainsi que toutes les composantes et infrastructures physiques pertinentes, telles que les locaux, centres de données et zones sensibles désignées” 

Il est précisé pour les groupements (donc hors les microentreprises) que  “la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle et garantissent un niveau approprié d’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts. Les entités financières garantissent une séparation et une indépendance adéquates des fonctions de gestion du risque lié aux TIC, des fonctions de contrôle et des fonctions d’audit interne”

Article 7 précise les modalités opérationnelles (via des protocoles, des outils informatiques) de réalisation des actes de sécurisation des actifs informationnels et employant les TIC des entités concernées qui doivent être : 

-adaptés à l’ampleur des opérations qui sous-tendent l’exercice de leurs activités ; 

-fiables ; 

-équipés d’une capacité suffisante pour traiter avec exactitude les données nécessaires à l’exécution des activités et à la fourniture des services en temps utile ; 

– suffisamment résilients sur le plan technologique pour répondre de manière adéquate aux besoins supplémentaires de traitement de l’information qui apparaissent en situation de tensions sur les marchés ou dans d’autres situations défavorables.

 

Bien évidemment, et dans la continuité de ces protocoles, il sera nécessaire de prévoir une réelle organisation interne des entreprises entrant dans le champ d’application, par une documentation support des rôles et responsabilités des “fonctions métiers” (article 8) et un suivi (article 9).

L’article 9 va jusqu’à imposer aux entités visées élaborées et documenter “une politique de sécurité de l’information qui définit des règles visant à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, des actifs informationnels et des actifs de TIC, y compris ceux de leurs clients, le cas échéant”

 

Le dernier article (16) du chapitre II relevant des modalités de gestion des risques liés au TIC prévoient des modalités “simplifiées” en ce que “les petites entreprises d’investissement non interconnectées et aux établissements de paiement exemptés en vertu de la directive (UE) 2015/2366; aux établissements exemptés en vertu de la directive 2013/36/UE pour lesquels les États membres ont décidé de ne pas appliquer l’option visée à l’article 2, paragraphe 4, du présent règlement; aux établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE; et aux petites institutions de retraite professionnelle” ne sont pas concernés par les articles 5 à 15 (soit l’entièreté du chapitre II).

 

A la place, ces entités doivent : 

-mettre en place et maintenir un cadre de gestion du risque lié aux TIC solide et documenté qui détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète du risque lié aux TIC, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes;
– surveiller en permanence la sécurité et le fonctionnement de tous les systèmes de TIC;
– réduire au minimum l’incidence du risque lié aux TIC grâce à l’utilisation de systèmes, protocoles et outils de TIC solides, résilients et actualisés, aptes à soutenir l’exercice de leurs activités et la fourniture de services et à protéger de manière
adéquate la disponibilité, l’authenticité, l’intégrité et la confidentialité des données dans le réseau et les systèmes d’information;
– permettre d’identifier et de détecter rapidement les sources de risque et les anomalies liés aux TIC dans le réseau et les systèmes d’information et de traiter rapidement les incidents liés aux TIC;
– recenser les principales dépendances vis-à-vis des prestataires tiers de services TIC;
– assurer la continuité des fonctions critiques ou importantes, au moyen de plans de continuité des activités et de mesures de réponse et de rétablissement, qui comprennent au moins des mesures de sauvegarde et de restauration;
– tester régulièrement les plans et mesures visés au point f), ainsi que l’efficacité des contrôles mis en œuvre conformément aux points a) et c).

-mettre en œuvre, le cas échéant, les conclusions opérationnelles pertinentes résultant des tests visés au point g) et de l’analyse post-incident dans le processus d’évaluation du risque lié aux TIC et élaborer, en fonction des besoins et du profil de risque lié aux TIC, des programmes de sensibilisation en matière de sécurité des TIC et de formation à la résilience opérationnelle numérique à l’intention du personnel et de la direction.

 

Le chapitre 3 précise enfin les règles à adopter pour la gestion, la classification le report des incidents énumérés à l’article 2 comme étant : “«risque lié aux TIC»: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;“.

 

Catégories: Courtier d'assurance, Assurance, IOBSP, Juridique

Articles liés

Le règlement DORA et le secteur de l’assurance

Le règlement DORA (Digital Operational Resilience Act) représente une avancée majeure dans le cadre réglementaire de l’Union européenne concernant la résilience opérationnelle dans le secteur des services financiers, avec un accent particulier sur la cybersécurité. Adopté par le Parlement européen le 10 novembre 2022, DORA vise à garantir la stabilité et la sécurité des systèmes financiers face à la complexité croissante des menaces cybernétiques.

Compte mars 22, 2024

La synthèse de l’impact sur le développement durable de l’activité des sociétés d’assurance vie et organismes de retraire professionnelle supplémentaire

Les sociétés d’assurance vie et organismes de retraite professionnelle supplémentaire sont visées par des dispositions légales supranationales qui imposent à ces groupements de réaliser un “audit” ou plutôt un reporting de l’impact de leur activité et décisions sur les “facteurs de durabilité”

Compte février 9, 2024

Les risques associés aux opérations et services bancaires

Les opérations bancaires sont le cœur battant de notre système financier moderne comprenant au sens de l’article L311-1 du Code monétaire et financier, la réception de fonds remboursables du public, les opérations de crédit, ainsi que les services bancaires de paiement. Cependant, il est essentiel pour l’intermédiaire de connaître les risques inhérents aux opérations et services bancaires et d’adopter des mesures de précaution pour les minimiser.

Compte août 8, 2023

La protection des données personnelles et le secret bancaire

Les données personnelles sont des informations qui identifient une personne, telles que son nom, son adresse, son numéro de sécurité sociale, ses données de santé, ou tout autre élément qui la rend identifiable. Avec la numérisation croissante de nos interactions, la collecte et l’utilisation des données personnelles sont plus fréquentes que jamais. Cela soulève des questions importantes concernant la vie privée, la sécurité et les droits fondamentaux des individus.

Une des principales raisons pour lesquelles la protection des données personnelles est essentielle est la prévention de l’abus des informations. Lorsque des données sensibles tombent entre de mauvaises mains, cela peut entraîner une variété de problèmes tels que le vol d’identité, la fraude financière, le harcèlement en ligne, voire des atteintes à la sécurité nationale. Les entreprises qui collectent et stockent des données sont responsables de leur protection, car une fuite de données peut avoir des conséquences dévastatrices pour les personnes concernées.

Compte août 4, 2023
0257880101
[email protected]
Assurance RC souscrite  auprès de ASSUR’UP SAS – 61 Avenue Charles de Gaulle 92200 Neuilly-sur-Seine, France  Médiateur conso  : AME CONSO 197 Boulevard Saint Germain Paris, 75007 France, [email protected]. Déclaration des droits de l’homme et du citoyen du 26 août 1789 Si vous êtes une Personne en Situation de Handicap (PSH) : Cliquez iciGestions des cookies

Déclaration des droits de l’homme et du citoyen du 26 août 1789

Visualiser le certificat Qualiopi

©