La loi sur la résilience opérationnelle numérique (DORA) entrera en vigueur le 17 janvier 2025. Ce règlement de l’UE vise à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement. Elle garantit la résilience du secteur financier européen en cas de graves perturbations opérationnelles. Les institutions financières qui entrent dans le champ d’application de ce règlement doivent renforcer leur résilience numérique, être prêtes à faire face aux ajustements futurs et mettre en place une solide stratégie de contrôle pour rester en conformité.
La question finale est la suivante : comment les institutions peuvent-elles se préparer à la mise en conformité avec la réglementation DORA ? Dans cet article, nous examinons le champ d’application de la réglementation et donnons des exemples pratiques pour comprendre comment la technologie peut aider les équipes juridiques à préparer sa mise en application.
En fin de compte, la question est de savoir comment les institutions peuvent se préparer à se conformer à la loi DORA. Dans cet article, nous examinons le champ d’application de la réglementation et donnons des exemples concrets de la manière dont la technologie peut aider les équipes juridiques à préparer le terrain.
La réglementation DORA
Depuis des années, les instances européennes soutiennent activement l’action du secteur financier contre les menaces liées aux technologies de l’information et de la communication (TIC).
L’Autorité bancaire européenne (ABE) s’est penchée sur la question et a publié ses lignes directrices sur la gestion des risques liés aux TIC et à la sécurité en 2019.
Parallèlement, l’Autorité européenne des marchés financiers (AEMF) a travaillé avec les autorités nationales compétentes sur ce sujet et sur d’autres thèmes connexes tels que l’amélioration de la protection des investisseurs, le bon fonctionnement des marchés et la stabilité financière.
Quelles sont les nouveautés ?
La réglementation DORA élargit le champ d’application, la nature et l’approche des textes et des lignes directrices existants afin de garantir une meilleure résilience face à des risques croissants.
Champ d’application
Le nouveau règlement s’applique à un plus grand nombre d’institutions financières et à leurs fournisseurs de services tiers essentiels (au-delà des seuls fournisseurs de services TIC), couvrant 20 types d’entités financières (EF) et une liste plus complète de TIC.
Nature
Contrairement aux efforts, recommandations et lignes directrices antérieurs de l’ABE et de l’AEMF, le règlement DORA est juridiquement contraignant et comporte des exigences et des délais de mise en conformité clairement définis, ce qui oblige les entités financières à agir et à améliorer leur résilience face aux risques potentiels en matière de sécurité.
Approche
L’approche est plus globale et couvre l’ensemble du cycle de vie des services TIC en relation avec les institutions financières.
Quels sont les objectifs ?
L’évolution du paysage financier s’accompagne d’une évolution de la législation.
La loi DORA vise à :
Qui est concerné ?
Le champ d’application des entités financières concernées par la réglementation DORA a été élargi par rapport aux textes et lignes directrices précédents. Il comprend les banques, les compagnies d’assurance et les entreprises d’investissement d’une certaine taille. Les fournisseurs de services TIC tiers sont également concernés, bien que différemment, car ils jouent un rôle majeur dans la cybersécurité.
Principales responsabilités des entités financières pour se conformer à la loi DORA
La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) définit plusieurs responsabilités clés pour les entités financières afin de s’assurer qu’elles peuvent résister et se remettre des perturbations liées aux TIC. Voici les principales responsabilités :
Gestion des risques
Les entités financières doivent établir et maintenir de solides cadres de résilience opérationnelle numérique. Cela inclut des politiques globales de gestion des risques liés aux TIC tout au long du cycle de vie des systèmes TIC, du développement à la mise hors service.
Rapport d’incident
Les entités sont tenues de signaler rapidement les cyberincidents importants à leurs autorités de régulation. Cela permet de garantir un flux d’informations en temps utile, ce qui est essentiel pour gérer les risques systémiques et renforcer la résilience globale.
Test de résilience opérationnelle numérique
Il est obligatoire de tester régulièrement la résilience numérique. Cela comprend des évaluations de la vulnérabilité, des tests de piratage et des exercices basés sur des scénarios afin d’évaluer l’efficacité des capacités de prévention, de détection, de réponse et de récupération.
Gestion des risques liés aux tiers
Les entités financières doivent gérer les risques associés aux fournisseurs de services TIC tiers. Cela implique un contrôle préalable approfondi avant de conclure des accords et un suivi continu des performances et de la conformité des prestataires de services.
Gouvernance
Les entités doivent mettre en place un cadre de gouvernance solide pour superviser les activités de gestion des risques liés aux TIC et de résilience. Ce cadre comprend des rôles et des responsabilités clairs, des examens réguliers et des mises à jour des stratégies et des politiques.
DORA : comment s’y préparer ?
La loi DORA s’appliquera à partir du 17 janvier 2025. Vous avez probablement commencé, mais il est maintenant grand temps de finaliser.
Identifiez vos dépendances TIC
La première grande étape consiste à dresser une liste détaillée de vos systèmes et fournisseurs de TIC et à identifier ceux qui relèvent de la réglementation DORA. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience ACT) comprend une liste de fournisseurs pour faciliter l’identification. La liste des fournisseurs de TIC est définitive et clôturée. Si vous ne voyez pas de fournisseur de TIC correspondant aux descriptions de la loi DORA, il n’y a pas d’autre démarche à entreprendre pour ces fournisseurs.
Comment ?
Vous pouvez utiliser un outil CLM pour consulter les contrats conclus avec les fournisseurs de TIC. Ces documents peuvent contenir des clauses indiquant si un fournisseur de TIC est soumis à la réglementation DORA. En quelques minutes, vous pouvez rechercher les clauses applicables et générer une liste de vos fournisseurs de TIC potentiellement concernés. L’IA peut s’avérer extrêmement utile à cet égard. Elle simplifie et accélère la recherche tout en garantissant qu’aucun entrepreneur n’est oublié.
L’annexe III du projet de normes techniques de mise en application (ITS) de la loi sur la résilience opérationnelle numérique (DORA) contient la liste complète des services TIC pris en compte.
Évaluez les fonctions critiques ou importantes
La DORA définit une série de fonctions critiques ou importantes qui peuvent avoir un impact sur les performances, la stabilité et la continuité des services des entités financières et les empêcher de se conformer aux réglementations obligatoires en vigueur.
Une fois que vous avez identifié vos TIC, vous devez évaluer les fonctions critiques ou importantes et mettre en place un plan de test pour vous conformer aux obligations du règlement.
Comment ? L’outil CLM peut être utilisé pour rechercher certaines fonctions ou certains services offerts par vos fournisseurs de TIC et identifier la nécessité et l’étendue des tests. Cette tâche peut être exécutée rapidement si vous utilisez un outil CLM doté de puissantes fonctions d’intelligence artificielle. Il vous permet de rechercher des mots clés pertinents dans vos contrats et d’obtenir des réponses en quelques secondes.
Évaluez les risques liés à vos fournisseurs de services TIC
Pour évaluer les risques potentiels, vous avez besoin d’un système de suivi solide vous permettant d’identifier les incidents passés et de les cartographier de manière détaillée. Vous devez également vous assurer qu’il existe un moyen efficace de créer et de partager des rapports d’incidents avec votre conseil d’administration et les organismes de réglementation. Vous êtes également tenu de procéder à des tests et à une surveillance continus afin de limiter les risques et les menaces à l’avenir.
Comment ?
Le contrôle des risques se divise en deux phases : l’évaluation des menaces passées et la cartographie détaillée, d’une part, et la surveillance continue des menaces potentielles et des failles de sécurité, d’autre part. Ces deux phases nécessitent des fonctions de reporting et d’analyse efficaces pour faciliter l’audit et les contrôles de conformité. Vous pouvez tirer parti de votre outil de gestion des entités juridiques s’il offre des capacités de création de rapports. L’existence d’un référentiel centralisé facilite la communication avec les organismes de réglementation. Il est également recommandé de mettre en place des technologies de détection des menaces en temps réel.
Mettez en place les changements nécessaires
Il se peut que vous deviez mettre en place des changements pour vous conformer à la loi DORA. D’un point de vue pratique, cela signifie que vous devez disposer d’une équipe dédiée et allouer les ressources nécessaires. Assurez-vous que des audits externes ont été réalisés et que les processus internes concernant les tests, le suivi et la cartographie sont en place d’ici le début de l’année 2025.
Utiliser les outils de gouvernance d’entreprise pour faciliter la conformité à la loi DORA
Les outils de technologie juridique tels que les plateformes de gestion du cycle de vie des contrats (CLM) et de gestion juridique des entités (ELM) assurent une supervision centralisée, permettant un suivi en temps réel des activités de conformité, une meilleure gestion des risques et un reporting transparent aux autorités. Ces solutions simplifient et rationalisent les processus de conformité, ce qui les rend indispensables pour les organisations qui doivent se conformer aux exigences de la loi DORA.
D’un autre côté, ne pas adopter de solutions spécialisées pour la conformité DORA expose les organisations financières à des risques inutiles et à des inefficacités. Sans ces outils, les directeurs financiers sont confrontés à des défis tels qu’une gestion fragmentée des données, des processus manuels sujets aux erreurs et des retards dans la réponse aux exigences réglementaires.
Nous présentons ci-dessous trois cas d’utilisation pratiques démontrant comment la technologie juridique peut répondre aux exigences de la loi DORA.
1. Réaliser une cartographie des fournisseurs de TIC et des fonctions critiques ou importantes
La première étape de la mise en conformité avec la loi DORA consiste à identifier les fournisseurs de services TIC qui remplissent des fonctions critiques ou importantes dans votre écosystème. Un outil de gestion du cycle de vie des contrats (CLM) est indispensable pour accélérer ce processus, en particulier lorsqu’il est enrichi de fonctions alimentées par l’intelligence artificielle.
Comment ?
- Capacités de recherche avancée : Utilisez le moteur de recherche de la plateforme pour identifier les contrats comportant des clauses spécifiques, telles que les droits d’audit ou les accords de sous-traitance, qui sont essentiels en vertu de la loi DORA.
- Filtres sur les contrats : Créez des filtres pour isoler les accords pertinents, comme les licences de logiciels ou les contrats SaaS. Vous pouvez affiner les recherches en ajoutant des paramètres pour localiser les clauses relatives aux sous-traitants.
- Extraction de clauses grâce à l’IA : Même si les clauses ne sont pas balisées au préalable, l’IA peut identifier les termes pertinents, tels que ceux liés aux réglementations nationales (par exemple, les clauses de l’ACPR en France). Capturez toutes les données requises par le DORA, y compris les dates de découverte, les établissements concernés et les catégories d’incidents (majeurs ou mineurs).
En quelques minutes, vous pouvez générer une liste de fournisseurs de TIC, analyser leurs clauses de conformité et exporter ces données pour un examen plus approfondi. Les bibliothèques de clauses alimentées par l’IA peuvent également stocker toutes les clauses contractuelles relatives à la loi DORA, garantissant ainsi l’exactitude et la facilité d’accès en cas d’exigences de tierces parties.
2. Établir des rapports d’incidents et communiquer efficacement avec les parties concernées
La loi DORA exige que les incidents liés aux TIC soient signalés en temps et en heure, quelle qu’en soit l’ampleur. Les incidents majeurs doivent être signalés dans les quatre heures – et au plus tard dans les 24 heures – après avoir été classés comme critiques (source : Taylor Wessing). Les rapports doivent être détaillés et couvrir les causes profondes, les systèmes affectés et les parties impliquées.
Une plateforme de gestion juridique des entités (ELM) simplifie le suivi des incidents et garantit une communication efficace avec les parties prenantes.
Comment ?
- Tableaux de bord personnalisables : Utilisez des dashboards personnalisés pour suivre, documenter et gérer les incidents liés aux TIC. Par exemple, si un fournisseur de services Cloud subit une violation, saisissez des descriptions détaillées telles que les systèmes affectés, les causes profondes et les parties impliquées.
- Domaines prêts pour la réglementation : Capturez toutes les données requises par la loi DORA, y compris les dates de découverte, les institutions affectées et les catégories d’incidents (majeurs ou mineurs).
- Flux d’activité : Maintenez un journal d’activité en temps réel pour suivre l’évolution de l’incident, documenter les actions et rationaliser les mises à jour destinées aux parties prenantes et aux autorités de réglementation.
- Rapports intégrés : Générer des rapports d’incidents complets faciles à partager avec les organismes de réglementation ou les comités internes.
Un outil ELM garantit la transparence et facilite la communication, en offrant des mises à jour en temps réel tout en soutenant la conformité réglementaire.
3. Maintenir des processus de gouvernance solides
La gouvernance est au cœur de la conformité avec la loi DORA. Les entités financières doivent formaliser des structures de contrôle et établir des méthodes de communication claires entre les parties concernées. Les membres du conseil d’administration et les CxO sont fortement impliqués dans ce processus, une communication efficace entre eux et un suivi clair des tâches sont essentiels. Un outil robuste pour le conseil d’administration permettra de suivre le statut des activités liées au DORA (incidents, mises à jour contractuelles en attente) dont les parties concernées ont discuté et de maintenir une piste d’audit claire.
Comment ?
- Board Portal pour le Conseil d’administration : Créez des comités spécifiques à la réglementation DORA avec des modèles prédéfinis pour les ordres du jour, le suivi des présences et les journaux de décision, qui répondent spécifiquement à ces exigences réglementaires.
- Examen des incidents et suivi des décisions : Présenter des mises à jour sur les incidents, examiner les rapports clés et documenter les décisions prises par les comités.
- Synchronisation avec le conseil d’administration : Assurer l’alignement entre les comités DORA et les discussions au niveau du conseil d’administration en reliant les décisions et les ordres du jour.
- Comptes rendus et plans d’action : Enregistrez les procès-verbaux des réunions, les décisions et les tâches assignées, et stockez-les pour les consulter ultérieurement afin de garder une trace des actions en cours ou des changements à venir liés à DORA.
Une plateforme centralisée renforce la gouvernance en améliorant la transparence, en réduisant les charges administratives et en permettant à toutes les parties prenantes de s’engager et de rendre des comptes.
Prêt ?
La réglementation DORA introduit de nouveaux défis pour les entités financières et les fournisseurs de TIC, tous deux habitués à opérer dans des environnements complexes. Les technologies qui soutiennent les efforts de mise en conformité évoluent en même temps que les réglementations. Pour les équipes juridiques et les dirigeants, il est essentiel d’utiliser les bons outils pour répondre aux exigences de conformité et gagner du temps pour concentrer leur énergie sur la stratégie et l’alignement des efforts internes avec les parties externes.
La suite DiliTrust Governance fournit le support dont les équipes ont besoin pour répondre efficacement aux exigences de conformité. Découvrez comment nos solutions peuvent faciliter vos opérations, réservez une démo. avec nous dès aujourd’hui !
Prêt pour DORA ?
Re-visionnez ou découvrez notre webinar sur la réglementation DORA, qui couvre les fondements de ce nouveau cadre réglementaire et partage des informations utiles pour se préparer à la mise en conformité.
