Mise en oeuvre de la règlementation DORA

Date : Tags : , ,

Le risque cyber est considéré comme un risque majeur pour le système financier. 

  • Recours généralisé aux systèmes informatiques. 
  • Accroissement et sophistication des cyberattaques. 

Seul un haut niveau d’exigence en matière de résilience opérationnelle peut garantir la confiance entre les acteurs et dans le système financier. 

Les régulateurs nationaux (ACPR, AMF) et européens veulent s’assurer de la bonne préparation des entités financières. 

Aspects règlementaires :

Un ensemble de textes applicable à partir du 17 janvier 2025 

- Directive (UE) 2022/2556 

- Règlement (UE) 2022/2554 

- RTS (Regulatory Technical Standards) 

Cinq piliers complémentaires : 

  1. Gestion des risques technologiques de l’information et de la communication (TIC)
  2. Gestion, classification et notification des incidents liés aux TIC
  3. Réalisation de tests de résilience numérique
  4. Gestion des risques liés aux tiers de services TIC
  5. Dispositif de partage d’informations et de renseignements sur les cybermenaces 

Forte implication des organes de direction pour fixer les objectifs : 

  • Définir une stratégie opérationnelle numérique
  • Avoir des objectifs clairs en matière de sécurité de l’information
  • Affecter les moyens et les ressources 

Formaliser un diagnostic :

  • Déterminer l’exposition au risque de l’entité
  • Recenser les actifs informatiques (par criticité)
  • Se protéger en cas d’attaque ou de perturbation grave pour assurer la continuité d’activité 

Gestion des risques liés à l’externalisation des services TIC à des prestataires tiers :

- Réaliser des diligences sur le prestataire

- Evaluer les risques liés à l’externalisation (dépendance, caractère non substituable)

- Clauses contractuelles à adapter en fonction de la criticité de la prestation (droits d’audit, stratégie de sortie, délai de préavis) 

Registre d’information contenant tous les accords contractuels relatifs à l’utilisation des services TIC :

- Prévoir la remise aux autorités de tutelles du registre

- Mise en œuvre de l’ensemble des règles en tenant compte de la taille, du profil de risque, et de la complexité des activités 

Les impacts juridiques de DORA :

  • Revoir les conventions (nouvelles et anciennes)
  • Identifier et différentier les contrats : TIC traditionnels et TIC soutenant des fonctions critiques
  • Prévoir d’insérer les clauses spécifiques : continuité de service, accès à la documentation de l’outil, clauses d’audit, modalités de restitution des données, engagement sur la reprise d’activité, clause de gestion des incidents, notification des incidents et des dysfonctionnement

À lire également

Date : Tags : , , ,
Ce contrôle SPOT s’inscrit dans les priorités de supervision 2024 de l’AMF et visent à évaluer concrètement la conformité des pratiques de direction et de supervision dans toutes les structures de taille et d’organisation (indépendantes ou appartenant à de grands groupes).
L’AMF rappelle qu’une bonne gouvernance est le socle du respect des obligations professionnelles et que les dirigeants sont personnellement responsables du dispositif de contrôle interne. A partir d’une grille de lecture, l’AMF met en lumière les bonnes et mauvaises pratiques des sociétés de gestion en matière de gouvernance et de rôle des dirigeants au sein des société de gestion de portefeuille.
Lire la suite