DORA : Resilience operationnelle numerique pour le secteur financier
Le reglement DORA impose aux entites financieres et a leurs prestataires TIC de garantir la resilience operationnelle numerique. Conformitly structure votre mise en conformite autour des 5 piliers.
Qu'est-ce que DORA ?
Le reglement DORA (UE 2022/2554) etablit un cadre reglementaire uniforme pour la resilience operationnelle numerique du secteur financier europeen. Il repose sur 5 piliers fondamentaux : la gestion des risques lies aux TIC, la gestion et le signalement des incidents lies aux TIC, les tests de resilience operationnelle numerique, la gestion des risques lies aux prestataires tiers de services TIC, et le partage d'informations. DORA s'applique directement dans tous les Etats membres sans transposition nationale.
Qui est concerne par DORA ?
Les 5 piliers de DORA
Pilier 1 : Gestion des risques TIC
Mise en place d'un cadre de gestion des risques TIC complet et documente, incluant l'identification et la classification des actifs TIC, la detection et la protection contre les menaces, et des strategies de continuite d'activite et de reprise apres sinistre.
Pilier 2 : Gestion et signalement des incidents TIC
Processus de gestion des incidents lies aux TIC avec classification selon des criteres de gravite, notification aux autorites competentes pour les incidents majeurs, et tenue d'un registre de tous les incidents et cybermenaces significatives.
Pilier 3 : Tests de resilience operationnelle numerique
Programme de tests proportionnes incluant des evaluations de vulnerabilites, des tests de penetration, et des tests avances de penetration fondes sur la menace (TLPT) pour les entites significatives, a realiser au minimum tous les trois ans.
Pilier 4 : Gestion des risques lies aux prestataires tiers TIC
Cadre de gestion des risques lies aux prestataires tiers de services TIC, avec des exigences contractuelles specifiques, un registre d'information sur les accords contractuels, et un mecanisme de surveillance directe par les autorites europeennes pour les prestataires critiques.
Pilier 5 : Partage d'informations
Possibilite pour les entites financieres de mettre en place des dispositifs de partage d'informations sur les cybermenaces entre elles, dans le respect des regles de confidentialite et de protection des donnees.
Calendrier DORA
Entree en vigueur du reglement DORA
Publication des normes techniques reglementaires (RTS) et d'execution (ITS) par les autorites europeennes de surveillance
Date d'application du reglement DORA — toutes les entites concernees doivent etre en conformite
Sanctions DORA
Les sanctions administratives sont definies par chaque Etat membre et peuvent inclure des amendes significatives, des injonctions de cesser les pratiques non conformes, et des declarations publiques identifiant les entites en infraction. Les prestataires tiers TIC designes comme critiques sont soumis a une surveillance directe par les autorites europeennes de surveillance, avec la possibilite d'imposer des astreintes journalieres pouvant atteindre 1 % du chiffre d'affaires mondial quotidien moyen pendant un maximum de six mois.
Comment Conformitly vous aide pour DORA
63 exigences pre-mappees
Accedez a 63 controles directement derives des articles du reglement DORA et des normes techniques associees, avec des descriptions detaillees et des preuves attendues pour chaque exigence.
Suivi par les 5 piliers
Visualisez votre progression de conformite organisee autour des 5 piliers DORA, avec des scores de maturite par pilier et un tableau de bord consolide pour les comites de direction.
Evaluation des risques tiers TIC
Gerez votre registre d'information sur les accords contractuels TIC, evaluez la criticite de vos prestataires et suivez les risques associes avec des questionnaires de securite integres.
Classification des incidents majeurs
Classifiez automatiquement vos incidents TIC selon les criteres de gravite DORA (clients affectes, duree, pertes financieres, etendue geographique), et generez les rapports de notification pour les autorites competentes.