DORA – Renforcer et harmoniser la résilience opérationnelle dans toute l’UE. 

Voir l'article complet sur https://cjcit.com/insight/dora-navigating-the-eus-operational-resilience-landscape/

Le DORA de l’UE est inévitable et aura des répercussions au-delà de l’union. Il remplace les précédentes lignes directrices en matière de résilience opérationnelle spécifiques au secteur et surmonte les disparités nationales, en harmonisant les lignes directrices pour les domaines d'intervention clés dans l'ensemble du secteur financier.
chaîne de valeur industrielle afin d’établir un cadre commun à l’échelle du syndicat. Cet aperçu explore les impacts macro de DORA, résumant les sections clés du texte intégral de DORA pour définir :

1. Qu'est-ce que DORA et ses 5 domaines d'intervention ?
2. Pourquoi DORA est-elle importante ?
3. À qui DORA s’applique-t-elle ?
4. Conformité DORA vs non-conformité.

Les technologies numériques sont essentielles aux entreprises financières et des marchés de capitaux mondiaux pour prendre en charge des systèmes complexes ; elles sont essentielles à la fourniture de fonctions commerciales typiques et d'activités génératrices de revenus. La numérisation et l’interconnectivité qui en résulte
permettre une plus grande efficacité et des économies de coûts, mais également amplifier les risques liés aux technologies de l'information et de la communication (TIC) et accroître la vulnérabilité du système financier aux cybermenaces ou aux perturbations.

Malgré des initiatives politiques et législatives ciblées au niveau national, l'Union européenne (UE) reconnaît la nécessité cruciale d'harmoniser et de renforcer la résilience opérationnelle dans l'ensemble de ses États membres afin de protéger l'intégrité et l'efficacité du système interne.
marché, compte tenu en particulier de l’escalade des cybermenaces1 et perturbation
incidents2. Un point de vue récemment repris par Liquidnet3:

« La force de l’industrie dépend de son maillon le plus faible […] 2024 représentera non seulement un examen réglementaire plus approfondi de la conformité, des risques et des contrôles ainsi que de l’interopérabilité technologique, mais également une responsabilité individuelle pour faire fonctionner l’écosystème de manière optimale. »

Face aux défis actuels en matière de résilience, l'UE a introduit la loi sur la résilience opérationnelle numérique (DORA) pour renforcer la sécurité des TIC et la robustesse opérationnelle des entités financières.

Qu'est-ce que DORA et ses 5 domaines d'intervention ?

DORA a été adopté par le Parlement européen et le Conseil le 14 décembre 2022, avec une mise en conformité requise d'ici le 17 janvier 2025. Le règlement vise à consolider et à améliorer la résilience opérationnelle numérique dans le paysage financier qui a,
jusqu'à présent, ont été abordées séparément dans divers actes juridiques de l'Union via un cadre commun4 pour la résilience opérationnelle numérique
des entités financières à mieux résister et à mieux se remettre des violations et des incidents TIC.

Les 5 domaines d'intervention de DORA :

1. Gestion des risques TIC.
2. Gestion, classification et reporting des incidents liés aux TIC.
3. Tests de résilience opérationnelle numérique.
4. Gestion des risques liés aux tiers en matière de TIC.
5. Accords de partage d’informations.

Pourquoi DORA est-elle importante ?

DORA s'appuie sur et remplace les précédentes directives spécifiques à l'industrie pour surmonter les disparités et consolide systématiquement les directives pour les domaines clés tout au long de la chaîne de valeur. Il est unique car il introduit un cadre de surveillance commun au niveau syndical sur
Fournisseurs tiers de TIC critiques, tels que désignés par les autorités européennes de surveillance (AES)5.

Le secteur financier étant dépendant des systèmes de TIC numériques et à mesure que l’interconnectivité se développe, les risques et vulnérabilités des TIC auront un impact transfrontalier de plus en plus perturbateur dans l’ensemble de l’Union, ce qui amplifiera l’effet des perturbations opérationnelles et des cyberattaques.
menaces contre les sociétés financières. DORA reconnaît que la numérisation englobe désormais des fonctions financières critiques6 comme
paiements, compensation de titres, trading algorithmique et opérations de back-office. Il vise à renforcer la résilience opérationnelle de ces fonctions afin de maintenir la stabilité financière globale et de protéger la confiance des consommateurs au sein des marchés intérieurs. DORA vise à préserver
confiance du marché en garantissant la fourniture fluide de services financiers, même dans des scénarios difficiles.

À qui DORA s’applique-t-elle ?

DORA s'applique à toutes les institutions financières de l'UE et aux prestataires de services TIC tiers fournissant des services pour les soutenir. Un aperçu récent10 adressé
ce. Le règlement DORA de l'UE introduit des exigences spécifiques et prescriptives pour tous les acteurs des marchés financiers.

DORA – Entités financières

Pour se conformer à DORA, les entités financières doivent améliorer leurs pratiques de gestion des risques liés aux TIC, qui comprennent l'identification, l'évaluation et l'atténuation des risques associés aux opérations numériques. DORA introduit également des obligations de déclaration rapide des incidents TIC au
autorités compétentes en cas de perturbations de fonctions critiques. En outre, les institutions doivent régulièrement simuler diverses perturbations pour tester leur résilience opérationnelle et leurs capacités de reprise.

DORA souligne notamment que les entités financières doivent évaluer et gérer le risque TIC tiers de leurs prestataires de services et garantir que les accords contractuels tiennent compte de la résilience opérationnelle. Cela concerne la concentration du risque (DORA article 2911)
et suit des incidents comme la panne OPRA12, et la cybercriminalité ciblant les fournisseurs critiques
dans la chaîne d'approvisionnement financière comme le hack Ion Group l'année dernière13 or
fournisseurs de cloud computing14, Où une
un seul incident peut avoir un impact sur plusieurs entités financières.

Il convient de noter que l'impact des pannes ne se limite pas aux entreprises et aux utilisateurs finaux, avec des répercussions potentielles sur les finances personnelles, comme le démontre la banque DBS.15 plus tôt
cette année.

DORA – Dépendances de tiers et résilience opérationnelle

Les entités financières s'appuient de plus en plus sur des fournisseurs tiers pour fournir des parties critiques de leurs opérations et services. Par conséquent, DORA affecte également de manière significative les dépendances envers les tiers. Ces tiers comprennent des fournisseurs de services cloud,
fournisseurs de données, développeurs de logiciels et autres partenaires technologiques. L'externalisation de certaines fonctions peut améliorer l'efficacité et réduire les coûts, mais comme nous l'avons vu avec Ion, cela introduit également de nouveaux risques. Les autorités doivent désormais regarder au-delà de la résilience des individus réglementés
entreprises et évaluer la résilience opérationnelle plus large du secteur.

DORA souligne l'importance de pratiques solides de gestion des risques pour les dépendances envers des tiers, visant à renforcer la résilience globale du secteur financier à l'ère numérique. Ceux-ci inclus:

1. Large portée du risque tiers lié aux TIC – Pour améliorer la résilience opérationnelle dans l’ensemble du secteur des services financiers, DORA ratisse large pour définir le risque tiers lié aux TIC. Par exemple, DORA Article 3 (18)16 définit
   Risque de tiers TIC comme tout risque TIC – Article 3 (5)17 – qui peuvent survenir pour une entité financière issue de l’utilisation des services TIC fournis
   par un prestataire de services tiers, des sous-traitants ou des accords d'externalisation.
2. Pratiques de gestion des risques pour les fournisseurs tiers – DORA impose des pratiques de gestion des risques appropriées pour les fournisseurs tiers afin de réduire les risques opérationnels associés aux relations avec des tiers et d'assurer la résilience. Il vise également à mettre en œuvre un système harmonisé
   cadre réglementaire pour la gestion des risques liés aux fournisseurs tiers dans l’ensemble de l’UE (article 1518).
3. Fournisseurs tiers de TIC critiques – DORA reconnaît le rôle critique des fournisseurs de services TIC dans les services financiers. Si un tiers est jugé critique, comme CJC dans certains cas, il doit se conformer aux exigences de DORA. Notamment, les tiers critiques
   en dehors de l’UE sont tenus de créer une filiale au sein de l’UE – Article 31 (12)19 – bien que le préambule (82)20 note
   l’exigence « ne devrait pas empêcher le fournisseur de services TIC tiers essentiel de fournir des services TIC et le soutien technique connexe à partir d’installations et d’infrastructures situées en dehors de l’Union ».

S'exprimant sur la résilience opérationnelle et la conformité DORA, Gina Wee, directrice de l'information chez CJC, a déclaré : « De la mise en œuvre d'un cryptage robuste et d'un contrôle d'accès strict à la réalisation d'audits réguliers, CJC maintient des niveaux élevés de conformité pour garantir que les données soient respectées.
sécurité. Combinés à une planification proactive, des procédures adaptatives et une culture d’amélioration continue, nous garantissons des services ininterrompus à nos clients. Nous espérons que notre engagement en faveur de la sécurité de l'information, de la résilience opérationnelle et de la responsabilité nous permettra
tranquillité d'esprit et confiance des clients dans nos services gérés.

Conformité DORA et non-conformité

Le risque de non-conformité

Le non-respect de DORA peut entraîner des dommages à la réputation, des pertes financières et des sanctions réglementaires. Les entreprises qui ne respectent pas les exigences de DORA risquent des perturbations opérationnelles, l'insatisfaction des clients et d'éventuelles conséquences juridiques.

Conformité DORA – 3 considérations et meilleures pratiques

Pour se conformer à DORA, les institutions financières doivent cartographier de manière exhaustive les dépendances tierces existantes et impliquer la compréhension des services des fonctions externalisées pour identifier les dépendances critiques. L'étape 2 évalue la résilience des dépendances cartographiées
pour évaluer les capacités opérationnelles, les mesures de sécurité et les plans de reprise après sinistre de leur fournisseur de services. Enfin, les accords contractuels avec des tiers devraient spécifiquement répondre aux exigences de résilience opérationnelle. Cela comprend les provisions pour incidents
objectifs en matière de reporting, de continuité des activités et de temps de récupération.

Pour rester conformes, les institutions financières peuvent prendre plusieurs mesures pour mettre en œuvre les meilleures pratiques afin de garantir une conformité continue avec DORA. Ceux-ci inclus:

1. Diligence raisonnable – Lors de la sélection de fournisseurs tiers, effectuez une diligence raisonnable approfondie en tenant compte de leurs réalisations, de leur stabilité financière et de leur résilience opérationnelle.
2. Tests de scénarios – Simulez divers scénarios avec des tiers pour tester l’efficacité des plans de récupération. Cela devrait inclure les cyberattaques, les pannes de système et les catastrophes naturelles.
3. Surveillance continue – Surveillez régulièrement les performances et la conformité des tiers, en étant prêt à vous adapter si les postures de résilience changent.

Mots finaux:

DORA n'est pas seulement un règlement ; il s’agit d’une opportunité stratégique d’améliorer votre résilience opérationnelle et de renforcer la confiance à l’ère numérique. En tant que principal fournisseur de services et de conseils en technologies de données pour les marchés financiers mondiaux, CJC traite sa position
en tant que fournisseur tiers essentiel de services gérés de données de marché pour la communauté des marchés financiers. Quel que soit le niveau de service, les normes et la transparence conformes à DORA sont prêtes à l'emploi de la part de CJC, qui fournit des services de conseil primés à plusieurs reprises,
services gérés, solutions cloud, observabilité et services professionnels de gestion commerciale pour les systèmes de données de marché critiques. CJC est indépendant des fournisseurs et certifié ISO 27001, ce qui permet à ses partenaires de se concentrer librement sur leur activité principale.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
• La source: https://www.finextra.com/blogposting/26024/dora–navigating-the-eus-operational-resilience-landscape?utm_medium=rssfinextra&utm_source=finextrablogs