Afin de protéger les sociétés financières de l’environnement technologique complexe et dangereux dans lequel elles opèrent, l’Europe a souhaité les réarmer en renforçant ses exigences en matière de résilience opérationnelle tout en harmonisant ses règles à l’ensemble de l’univers financier. Certains prestataires de ces établissements sont également concernés, dans la mesure où ils ont une importance stratégique majeure pour ces derniers.
Points clés :
- Le 27 décembre 2022, le règlement DORA a été publié au Journal officiel de l'UE. Il entrera en vigueur le 17 janvier prochain 2025.
- Cette nouvelle législation vise à améliorer la résilience opérationnelle des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique.
- Ce chantier, qui nécessite une revue en profondeur des process de sécurité, s'annonce particulièrement lourd pour les entreprises concernées.
« Si j’ai une faille dans mon système informatique, ai-je mis en place des process suffisants pour faire face à une attaque et remettre mon système d’aplomb le plus vite possible ? » Telle est la question que se posent actuellement l’ensemble des établissements bancaires, financiers et assurantiels, dans la perspective de l’entrée en vigueur du règlement DORA (Digital Operational Resilience Act) le 17 janvier 2025. En effet, si la cybersécurité et la gestion des systèmes d’information ont toujours fait l’objet d’une attention particulière de leur part, les réglementations sectorielles qui existaient jusqu’alors ne permettaient plus de faire face à l’évolution risques.
Ainsi, face à une menace toujours plus grande, le législateur européen a décidé de monter d’un cran. « Le 24 septembre 2020, la Commission a présenté une proposition de règlement visant à renforcer et harmoniser les règles applicables aux établissements financiers en matière de cybersécurité », indique Cathie-Rosalie Joly, avocate associée au sein du cabinet Bird & Bird. Publié au journal officiel le 27 décembre 2022, ce règlement vise à sécuriser l’externalisation des systèmes d’information et prévoit en outre un régime spécifique pour les prestataires informatiques des établissements financiers, qui peuvent représenter une faille dangereuse pour ces derniers, dès l’instant où ils ne répondent pas à des standards élevés de protection.
Une règlementation qui dépasse l'univers financier
Ces prestataires seront donc soumis à la réglementation au même titre que les...
