Règlement DORA : Protéger le secteur financier face aux cybermenaces

Par Haas Avocats

La résilience opérationnelle dans le secteur financier, cette quête incessante et impérieuse des parties prenantes de cet univers complexe, trouve désormais son cadre dans le Digital Operational Resilience Act (DORA). Ce texte, adopté par l'Union européenne à la fin de l'année 2022, marque une avancée déterminante. Il s'impose comme une référence pour une multitude d'entités, telles que les établissements bancaires, les sociétés de cryptomonnaies, les gestionnaires d'actifs et les compagnies d'assurance.

DORA : Un défi ambitieux pour le secteur financier face aux cybermenaces

L'objectif premier de DORA est clair et ambitieux : renforcer la capacité des entreprises à anticiper et à gérer les crises, tout en optimisant leur résilience face aux cyberattaques. Dans un monde où les menaces numériques se multiplient et se complexifient, cette régulation offre une feuille de route précieuse pour naviguer les eaux tumultueuses de la cybersécurité.

Cependant, il convient de souligner que, malgré l'échéance désormais passée, de nombreux acteurs du secteur financier peinent encore à se conformer aux exigences de DORA.

En France, par exemple, peu d’acteurs sont prêts à répondre pleinement aux exigences de ce cadre réglementaire. Cette situation préoccupante révèle les défis considérables auxquels doivent faire face non seulement les grandes institutions financières, mais également, et surtout, les petites et moyennes entreprises (PME). Ces dernières, en raison des coûts élevés et de la complexité des mesures à mettre en œuvre, éprouvent de grandes difficultés à se conformer aux nouvelles normes.

Renforcer la résilience de notre secteur financier face aux défis du XXIe siècle

Exigences clés de DORA :

• Évaluation des risques : Détails sur les capacités nécessaires pour évaluer les risques en matière de cybersécurité et l'importance de tests de résilience réguliers.
• Plans d'urgence : Exposé des obligations concernant les plans d'urgence et la rapidité des notifications d'incidents.
• Gestion des tiers : Étude des exigences relatives aux prestataires de services informatiques tiers, y compris l'évaluation et l'inscription dans un registre destiné aux autorités de supervision.

Défis de mise en œuvre :

• Complexité bureaucratique : Analyse de la charge administrative et des coûts potentiels liés à la conformité avec DORA.
• Manque de clarté : Identification des difficultés rencontrées par les juristes et les professionnels du secteur pour comprendre les exigences de DORA, en raison d'un manque de formation en cybersécurité.
• Risque de sanctions : Analyse des pouvoirs des régulateurs nationaux à suspendre les agréments des institutions non conformes et des conséquences pour les acteurs du secteur.

Tableau des zones à risques

En définitive, DORA représente une opportunité pour le secteur financier de renforcer sa résilience face aux menaces cybernétiques. Cependant, la mise en œuvre de cette réglementation pose des défis significatifs, notamment pour les petites structures. Les institutions doivent s'engager pleinement dans cette transition pour garantir leur conformité et protéger leurs opérations contre les risques informatiques croissants. 

***

Le cabinet HAAS Avocats est spécialisé depuis plus de vingt-cinq ans en droit des nouvelles technologies et de la propriété intellectuelle. Il accompagne de nombreux acteurs du numérique dans le cadre de leurs problématiques judiciaires et extrajudiciaires relatives au droit de la protection des données. Dans un monde incertain, choisissez de vous faire accompagner par un cabinet d’avocats fiables. Pour nous contacter, cliquez ici.