Mise en oeuvre de la règlementation DORA

Date : Tags : , ,

Le risque cyber est considéré comme un risque majeur pour le système financier. 

  • Recours généralisé aux systèmes informatiques. 
  • Accroissement et sophistication des cyberattaques. 

Seul un haut niveau d’exigence en matière de résilience opérationnelle peut garantir la confiance entre les acteurs et dans le système financier. 

Les régulateurs nationaux (ACPR, AMF) et européens veulent s’assurer de la bonne préparation des entités financières. 

Aspects règlementaires :

Un ensemble de textes applicable à partir du 17 janvier 2025 

- Directive (UE) 2022/2556 

- Règlement (UE) 2022/2554 

- RTS (Regulatory Technical Standards) 

Cinq piliers complémentaires : 

  1. Gestion des risques technologiques de l’information et de la communication (TIC)
  2. Gestion, classification et notification des incidents liés aux TIC
  3. Réalisation de tests de résilience numérique
  4. Gestion des risques liés aux tiers de services TIC
  5. Dispositif de partage d’informations et de renseignements sur les cybermenaces 

Forte implication des organes de direction pour fixer les objectifs : 

  • Définir une stratégie opérationnelle numérique
  • Avoir des objectifs clairs en matière de sécurité de l’information
  • Affecter les moyens et les ressources 

Formaliser un diagnostic :

  • Déterminer l’exposition au risque de l’entité
  • Recenser les actifs informatiques (par criticité)
  • Se protéger en cas d’attaque ou de perturbation grave pour assurer la continuité d’activité 

Gestion des risques liés à l’externalisation des services TIC à des prestataires tiers :

- Réaliser des diligences sur le prestataire

- Evaluer les risques liés à l’externalisation (dépendance, caractère non substituable)

- Clauses contractuelles à adapter en fonction de la criticité de la prestation (droits d’audit, stratégie de sortie, délai de préavis) 

Registre d’information contenant tous les accords contractuels relatifs à l’utilisation des services TIC :

- Prévoir la remise aux autorités de tutelles du registre

- Mise en œuvre de l’ensemble des règles en tenant compte de la taille, du profil de risque, et de la complexité des activités 

Les impacts juridiques de DORA :

  • Revoir les conventions (nouvelles et anciennes)
  • Identifier et différentier les contrats : TIC traditionnels et TIC soutenant des fonctions critiques
  • Prévoir d’insérer les clauses spécifiques : continuité de service, accès à la documentation de l’outil, clauses d’audit, modalités de restitution des données, engagement sur la reprise d’activité, clause de gestion des incidents, notification des incidents et des dysfonctionnement

À lire également

Formation AMF des RCCI et RCSI

Date : Tags : , ,
La formation AMF du 17 mars 2025 a rappelé les principales évolutions réglementaires à connaître et les bonnes pratiques de conformité à adopter. L’AMF a précisé ses priorités de supervision pour l’année, notamment le renforcement des contrôles sur la protection des investisseurs, la transparence des marchés et la cybersécurité des systèmes d’information.
Lire la suite

La stratégie d'investissement de détails (RIS)

Date : Tags : , , , , , , , ,
Publiée en mai 2021, la consultation européenne sur la stratégie d’investissement de détail vise à renforcer la participation des épargnants aux marchés financiers en Europe. Elle explore notamment les moyens d’améliorer la transparence, de promouvoir des produits d’investissement plus accessibles et de mieux protéger les investisseurs dans une perspective durable.
Lire la suite