Application de la directive européenne DORA : banquiers, assureurs, courtiers quels impacts ?

directive dora

La directive intitulée Digital Operational Resilience Act (DORA) est une initiative législative européenne visant à renforcer la résilience opérationnelle numérique du secteur financier au sein de l’Union européenne. Elle a pour vocation d’harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) pour garantir la continuité des services financiers, même en cas de cyberattaques majeures. Cette régulation s’inscrit dans le cadre plus large de la stratégie européenne pour une finance numérique sécurisée et innovante. La directive DORA est donc conçue pour protéger les données sensibles et assurer la stabilité financière tout en permettant l’innovation.

À qui s’adresse DORA ?

DORA s’applique à une vaste gamme d’acteurs du secteur financier, y compris les banques, les assurances, les établissements de paiement, et les prestataires de services TIC opérant dans l’Union européenne. En particulier, les courtiers en assurance, notamment ceux qui opèrent à titre de courtiers délégataires, sont également concernés. Les courtiers qui dépassent les 250 employés et réalisent un chiffre d’affaires supérieur à 50 millions d’euros seront particulièrement touchés. Malgré cela, il subsiste des incertitudes quant aux spécificités applicables aux courtiers, en particulier ceux qui gèrent des activités externalisées critiques ou importantes pour les entreprises d’assurance.

Calendrier de mise en œuvre

La directive DORA est entrée en vigueur le 16 janvier 2023, mais c’est à partir du 17 janvier 2025 que son application est devenue obligatoire pour les entités concernées.

Les 4 grands principes de DORA

DORA repose sur quatre piliers essentiels qui structurent sa mise en œuvre :

  • Système de gestion des risques et gouvernance : la mise en place d’un cadre robuste pour gérer les risques TIC est requise. Cela inclut une gouvernance stricte autour des risques technologiques.
  • Processus de gestion et de classification des risques : les entités doivent notifier les incidents majeurs et les cybermenaces aux autorités compétentes, ce que DORA encourage pour une meilleure réactivité.
  • Tests de résilience numérique : les institutions financières sont tenues de mener des tests réguliers pour évaluer leur résilience numérique face aux perturbations potentielles.
  • Gestion des risques liés aux prestataires : Il est impératif de surveiller et gérer les risques associés aux prestataires de services tiers, notamment ceux qui fournissent des services TIC critiques.

Les implications

Pour les acteurs financiers, l’adoption de DORA implique des modifications significatives de leur gestion des risques et de leurs processus opérationnels. L’une des conséquences majeures est l’obligation de modifier les contrats existants avec les prestataires, intégrant ainsi les nouvelles clauses obligatoires prévues par l’article 30 de la directive. Ceci est particulièrement pertinent pour les contrats liés à des services informatiques ayant une fonction critique.

Défis et difficultés à prévoir

La transition vers la conformité DORA ne se fera pas sans obstacles. Les acteurs financiers devront surmonter certains défis :

  • Modernisation de l’infrastructure : les systèmes existants devront être mis à niveau pour répondre aux nouvelles exigences de sécurité.
  • Complexité administrative : l’implémentation de DORA entraîne une charge administrative supplémentaire, avec des coûts potentiellement élevés.
  • Intégration des normes de cybersécurité : les institutions doivent incorporer des normes de cybersécurité robustes, ce qui peut être compliqué pour les systèmes existants.
  • Formation et expertise : la complexité de DORA nécessite que le personnel soit bien formé, ce qui pourrait impliquer de recruter des experts externes.

En résumé, la directive DORA représente un changement de paradigme pour le secteur financier en matière de gestion des risques numériques. Bien que son adoption promette une résilience accrue face aux cybermenaces, elle impose aux institutions de surmonter des défis significatifs pour adapter leurs stratégies opérationnelles et assurer une transition fluide vers ce nouveau cadre réglementaire.

/par