Comprendre la conformité à la loi sur la Résilience Opérationnelle Numérique

La loi sur la résilience opérationnelle numérique (DORA) entrera en vigueur le 17 janvier 2025. Ce règlement de l’UE vise à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement. Elle garantit la résilience du secteur financier européen en cas de graves perturbations opérationnelles.

Cela signifie que les institutions financières qui entrent dans le champ d’application de ce règlement doivent renforcer leur résilience numérique avant le début de l’année prochaine.

Découvrez les derniers développements de DORA dans le paysage réglementaire et comment être prêt pour cette loi.

Depuis des années, les instances européennes soutiennent activement l’action du secteur financier contre les menaces liées aux technologies de l’information et de la communication (TIC).

L’Autorité bancaire européenne s’est penchée sur la question et a publié ses lignes directrices sur la gestion des risques liés aux TIC et à la sécurité en 2019.

Parallèlement, l’Autorité européenne des marchés financiers (ESMA) a travaillé avec les autorités nationales compétentes sur ce sujet et sur d’autres thèmes connexes tels que le renforcement de la protection des investisseurs, le bon fonctionnement des marchés et la stabilité financière.

Le DORA élargit le champ d’application, la nature et l’approche des textes et des lignes directrices existants afin de garantir une meilleure résilience face à des risques croissants.

• Champ d’application

Le nouveau règlement s’applique à un plus grand nombre d’institutions financières et à leurs fournisseurs de services tiers essentiels (au-delà des seuls fournisseurs de services TIC), couvrant 20 types d’entités financières (EF) et une liste plus complète de TIC.

• Nature 

Contrairement aux efforts, recommandations et lignes directrices antérieurs de l’ABE et de l’ESMA, la loi DORA est une réglementation juridiquement contraignante assortie d’exigences et de délais de mise en conformité clairement définis, qui oblige les entités financières à agir et à améliorer leur résilience face aux risques potentiels en matière de sécurité.

• Approche 

L’approche est plus globale et porte sur l’ensemble du cycle de vie des services TIC en relation avec les institutions financières.

L’évolution du paysage financier s’accompagne d’une évolution de la législation. La loi DORA vise à :

• Répondre à la dépendance croissante du secteur financier à l’égard de la technologie et des entreprises technologiques.

• Atténuer le risque de cyber-attaques et d’incidents dans le secteur financier, car le nombre et la gravité des menaces augmentent constamment.

• Garantir des services financiers stables et fiables dans l’ensemble de l’économie.

Qui est concerné ?

Le champ des entités financières concernées par la réglementation DORA a été élargi par rapport aux textes et lignes directrices précédents. Il comprend les banques, les compagnies d’assurance et les entreprises d’investissement d’une certaine taille. Les prestataires de services TIC tiers sont également concernés, bien que différemment, car ils jouent un rôle majeur dans la cybersécurité.

La loi sur la résilience opérationnelle numérique définit plusieurs responsabilités clés pour les entités financières afin de s’assurer qu’elles peuvent résister et se remettre des défaillances liées aux technologies de l’information et de la communication (TIC). Voici les principales responsabilités :

Les entités financières doivent établir et maintenir des cadres de résilience opérationnelle numérique solides. Cela inclut des politiques globales de gestion des risques liés aux TIC tout au long du cycle de vie des systèmes TIC, du développement à la mise hors service.

Les entités sont tenues de signaler rapidement les cyberincidents importants à leurs autorités de régulation. Cela permet de garantir un flux d’informations en temps opportun, ce qui est essentiel pour gérer les risques systémiques et renforcer la résilience globale.

Il est obligatoire de tester régulièrement la résilience numérique. Cela comprend des évaluations de la vulnérabilité, des tests de pénétration et des exercices basés sur des scénarios pour évaluer l’efficacité des capacités de prévention, de détection, de réponse et de récupération.

Les entités financières doivent gérer les risques associés aux fournisseurs de services TIC tiers.Cela implique un contrôle préalable approfondi avant de conclure des accords et un suivi continu des performances et de la conformité des prestataires de services.

Les entités doivent mettre en place un cadre de gouvernance solide pour superviser les activités de gestion des risques liés aux TIC et de résilience. Ce cadre comprend des rôles et des responsabilités clairs, des examens réguliers et des mises à jour des stratégies et des politiques.

La loi DORA s’appliquera à partir du 17 janvier 2025. Vous avez probablement commencé, mais il est maintenant grand temps de finaliser sa mise en place.

La première grande étape consiste à dresser une liste détaillée de vos systèmes TIC et de vos fournisseurs et à identifier ceux qui relèvent de la réglementation DORA. La loi sur la résilience opérationnelle numérique (Digital Operational Resilience ACT) comprend une liste de fournisseurs pour faciliter l’identification. La liste des fournisseurs de TIC est définitive et fermée. Si aucun fournisseur de TIC ne correspond aux descriptions de la loi DORA, il n’y a pas d’autre préparation à faire avec ces fournisseurs.

Comment ? Vous pouvez utiliser un outil CLM pour trouver les contrats avec les fournisseurs de TIC. Ces documents peuvent contenir des clauses indiquant si un fournisseur de TIC est soumis à la réglementation DORA. En quelques minutes, vous pouvez rechercher les clauses applicables et générer une liste de vos fournisseurs de TIC potentiellement concernés. L’IA peut s’avérer extrêmement utile à cet égard. Elle simplifie et accélère la recherche tout en veillant à ce qu’aucun entrepreneur ne soit oublié.

L’annexe III du projet de normes techniques de mise en œuvre (ITS) pour la loi sur la résilience opérationnelle numérique (DORA) contient la liste complète des services TIC considérés.

La DORA définit une série de fonctions critiques ou importantes qui peuvent avoir un impact sur les performances, la stabilité et la continuité des services des entités financières et les empêcher de se conformer aux réglementations obligatoires en vigueur.

Une fois que vous avez identifié vos TIC, vous devez évaluer les fonctions critiques ou importantes et mettre en place un plan de test pour vous conformer aux obligations du règlement.

Comment ? L’outil CLM peut être utilisé pour rechercher certaines fonctions ou certains services offerts par vos fournisseurs de TIC et identifier la nécessité et l’étendue des tests. Cette tâche peut être exécutée rapidement si vous utilisez un outil CLM doté de puissantes fonctions d’intelligence artificielle. Il vous permet de rechercher des mots clés pertinents dans vos contrats et d’obtenir des réponses en quelques secondes.

Pour évaluer les risques potentiels, vous avez besoin d’un système de suivi robuste vous permettant d’identifier les incidents passés et de les cartographier de manière détaillée. Vous devez également vous assurer qu’il existe un moyen efficace de créer et de partager des rapports d’incidents avec votre conseil d’administration et les organismes de réglementation. Vous êtes également tenu de procéder à des tests et à une surveillance continus afin d’atténuer les risques et les menaces futurs.

Comment ? L’évaluation des risques se divise en deux phases : l’évaluation des menaces passées et la cartographie détaillée, d’une part, et la surveillance continue des menaces potentielles et des failles de sécurité, d’autre part. Ces deux phases requièrent des fonctions de rapport et d’analyse efficaces pour faciliter l’audit et les contrôles de conformité. Vous pouvez tirer parti de votre outil d’entité juridique s’il offre des capacités de création de rapports. L’existence d’un référentiel centralisé facilite la communication avec les organismes de réglementation. Il est également recommandé de mettre en œuvre des technologies de détection des menaces en temps réel.

Il se peut que vous deviez mettre en œuvre des changements pour vous conformer à la loi DORA. D’un point de vue pratique, cela signifie que vous devez mettre en place une équipe dédiée et allouer les ressources nécessaires. Assurez-vous que des audits externes ont été réalisés et que les processus internes concernant les tests, le suivi et la cartographie sont en place d’ici le début de l’année 2025.

Les outils de technologie juridique tels que les plateformes de gestion du cycle de vie des contrats (CLM) et de gestion juridique des entités (ELM) assurent une surveillance centralisée, permettant un suivi en temps réel des activités de conformité, une meilleure gestion des risques et un reporting transparent aux autorités. Ces solutions simplifient et rationalisent les processus de conformité, ce qui les rend indispensables pour les organisations qui doivent se conformer aux exigences de la loi DORA. D’un autre côté, ne pas adopter de solutions spécialisées pour la conformité DORA expose les organisations financières à des risques inutiles et à des inefficacités. Sans ces outils, les directeurs sont confrontés à des défis tels qu’une gestion fragmentée des données, des processus manuels sujets aux erreurs et des retards dans la réponse aux exigences réglementaires.

Nous présentons ci-dessous trois cas d’utilisation pratiques démontrant comment la technologie juridique peut répondre aux exigences de la loi DORA.

La première étape vers la conformité DORA consiste à identifier les fournisseurs de services TIC qui remplissent des fonctions critiques ou importantes dans votre écosystème. Un outil de gestion du cycle de vie des contrats (CLM) est inestimable pour accélérer ce processus – en particulier lorsqu’il est enrichi de fonctions alimentées par l’IA.

Comment : 

• Capacités de recherche avancée : utilisez le moteur de recherche de la plateforme pour identifier les contrats comportant des clauses spécifiques, telles que les droits d’audit ou les accords de sous-traitance, qui sont essentiels dans le cadre de la loi DORA.

• Filtrage des contrats : créez des filtres pour isoler les accords pertinents, comme les licences de logiciels ou les contrats SaaS. Vous pouvez affiner les recherches en ajoutant des paramètres pour localiser les clauses relatives aux sous-traitants.

• Extraction de clauses par l’IA : même si les clauses ne sont pas étiquetées au préalable, l’IA peut identifier les termes pertinents, tels que ceux liés aux réglementations spécifiques à un pays (par exemple, les clauses de l’ACPR en France). Capturez toutes les données requises par DORA, y compris les dates, les établissements concernés et les catégories d’incidents (majeurs ou mineurs).

En quelques minutes, vous pouvez générer une liste de fournisseurs de TIC, analyser leurs clauses de conformité et exporter ces données pour un examen plus approfondi. Les bibliothèques de clauses basées sur l’IA peuvent également stocker toutes les clauses contractuelles relatives à la DORA, garantissant ainsi l’exactitude et la facilité d’accès en cas d’exigences de tiers.

La loi DORA exige que les incidents liés aux TIC soient signalés en temps opportun, quelle que soit leur ampleur. Les incidents majeurs doivent être signalés dans les quatre heures – et au plus tard dans les 24 heures – après avoir été classés comme critiques (source : Taylor Wessing). Les rapports doivent être détaillés et couvrir les causes profondes, les systèmes affectés et les parties impliquées.

Une plateforme de gestion des entités (ELM) simplifie le suivi des incidents et garantit une communication efficace avec les parties prenantes.

• Tableaux personnalisables : utilisez des tableaux de bord personnalisés pour suivre, documenter et gérer les incidents liés aux TIC. Par exemple, si un fournisseur de services en nuage subit une violation, saisissez des descriptions détaillées telles que les systèmes affectés, les causes profondes et les parties impliquées.
• Champs prêts pour la réglementation : capturez toutes les données requises par DORA, y compris les dates, les institutions affectées et les catégories d’incidents (majeurs ou mineurs).
• Flux d’activité : tenez un journal d’activité en temps réel pour suivre l’évolution de l’incident, documenter les actions et rationaliser les mises à jour destinées aux parties prenantes et aux autorités de réglementation.
• Rapports intégrés : générer des rapports d’incidents complets faciles à partager avec les organismes de réglementation ou les comités internes.

Un outil ELM garantit la transparence et facilite la communication, en offrant des mises à jour en temps réel tout en favorisant la conformité réglementaire.

La gouvernance est au cœur de la conformité avec la loi DORA, qui exige des entités financières qu’elles formalisent des structures de contrôle et établissent des méthodes de communication claires entre les parties concernées. Les membres du conseil d’administration et les CxO sont fortement impliqués dans ce processus, une communication efficace entre eux et un suivi clair des tâches sont essentiels. Un outil robuste de portail pour le conseil d’administration permettra de suivre le statut des activités liées à la DORA (incidents, mises à jour contractuelles en attente) dont les parties concernées ont discuté et de maintenir une piste d’audit claire.

Numérisation des instances : créer des comités spécifiques à DORA avec des modèles prédéfinis pour les ordres du jour, le suivi des présences et les journaux de décision, qui répondent spécifiquement à ces exigences réglementaires.

Examen des incidents et suivi des décisions : présentez des mises à jour sur les incidents, examinez les principaux rapports et documentez les décisions prises par les comités.

Synchronisation avec le conseil d’administration : sssurer l’alignement entre les comités DORA et les discussions au niveau du conseil d’administration en reliant les décisions et les ordres du jour.

Procès-verbaux et plans d’action : enregistrez les procès-verbaux des réunions, les décisions et les tâches assignées, et stockez-les pour les consulter ultérieurement afin de garder une trace des actions en cours ou des changements à venir liés à DORA.

Une plateforme centralisée renforce la gouvernance en améliorant la transparence, en réduisant les charges administratives et en permettant à toutes les parties prenantes de s’engager et de rendre des comptes.

La loi DORA introduit de nouveaux défis réglementaires pour les entités financières et les fournisseurs de TIC, tous deux habitués à opérer dans des environnements complexes. Les technologies qui soutiennent les efforts de mise en conformité évoluent en même temps que les réglementations. Pour les équipes juridiques et les dirigeants, il est essentiel d’utiliser les bons outils pour satisfaire aux exigences de conformité et gagner du temps afin de concentrer leur énergie sur la stratégie et l’alignement des efforts internes sur les parties externes.

DiliTrust fournit le support dont les équipes ont besoin pour répondre efficacement aux exigences de conformité. Découvrez comment notre solution peut faciliter vos opérations, réservez une démonstration avec nous dès aujourd’hui.