Le Digital Operational Resilience Act (DORA) est un nouveau règlement qui est entré en vigueur dans l’Union européenne en janvier 2023 et qui s’appliquera à partir du 17 janvier 2025. Son objectif est de réglementer l’utilisation des technologies de l’information et de la communication (TIC) et la résilience opérationnelle numérique dans le secteur financier. DORA s’applique à diverses institutions financières, notamment les banques, les compagnies d’assurance et les entreprises d’investissement, ainsi qu’aux prestataires de services qui offrent des services TIC critiques à ces entités.
L’un des principaux objectifs du DORA est de veiller à ce que les conseils d’administration des institutions financières jouent un rôle actif dans l’orientation et l’adaptation de la stratégie globale de gestion des risques liés aux TIC et de résilience opérationnelle. Cela signifie que le conseil d’administration est responsable en dernier ressort de la gestion des risques liés aux TIC de l’entité. Pour assumer cette responsabilité, le conseil d’administration doit définir, superviser et rendre compte de la mise en œuvre de toutes les dispositions relatives au cadre de gestion des risques liés aux TIC. DORA définit des exigences minimales spécifiques pour les cadres de gestion des risques, y compris les stratégies, les politiques, les procédures, les protocoles et les outils nécessaires pour protéger tous les actifs et infrastructures TIC contre les risques liés aux TIC. Les institutions financières doivent établir une stratégie pour les risques liés à l’utilisation de services TIC de tiers et examiner régulièrement les risques liés aux accords contractuels pour l’utilisation de ces services.
En vertu de la loi DORA, les membres du conseil d’administration des institutions financières doivent disposer de connaissances et de compétences suffisantes pour comprendre et évaluer les risques liés aux TIC au sein de l’institution. Le non-respect de ces obligations peut entraîner des sanctions administratives pour les membres du conseil d’administration au niveau individuel. Par conséquent, les institutions financières doivent évaluer leurs risques et pratiques en matière de TIC, y compris ceux de leurs fournisseurs de services TIC, en temps utile pour répondre aux exigences de la loi DORA et éviter toute sanction administrative potentielle. Ce faisant, elles peuvent également améliorer leur gestion des risques liés aux TIC et leur résilience opérationnelle, ce qui peut les aider à mieux protéger leurs actifs et à éviter des interruptions coûteuses de leurs activités.
Dans l’ensemble, le DORA crée un cadre complet pour la gestion des risques liés à la numérisation des institutions financières. Il comprend de nouvelles exigences en matière de cybersécurité et de résilience opérationnelle et impose de nouvelles obligations aux conseils d’administration des institutions financières. Les autorités nationales ont le pouvoir d’imposer des sanctions administratives et des remèdes en cas de non-respect, qui peuvent être adressés aux membres des conseils d’administration des institutions financières et à d’autres personnes responsables.