DORA, Digital Operational Resilience Act

Règlement UE 2022/2554 du 14 décembre 2022
Entrée en vigueur le 17 janvier 2025
Regulation – 2022/2554 – EN – DORA – EUR-Lex (europa.eu)

 

Le contexte

Les interconnexions et la numérisation (paiement dématérialisé, souscription en ligne…) ont accentué les risques liés aux technologies de l’information et de la communication (TIC).

L’objectif

S’assurer que les établissements financiers peuvent résister, répondre et maintenir leurs activités en cas de cyberattaques et/ou lors de tout dysfonctionnement de l’information et de la communication.

Le champ d’application

Le champ d’application est très large mais concernant le secteur des assurances sont visés :

  • Une très grande majorité d’entreprises d’assurances dont CGPA.
  • Les intermédiaires employant plus de 250 personnes et dont le CA excède 50 millions d’euros ou le bilan 43 millions.

Les 4 piliers de DORA

Adoption d’une organisation permettant d’assurer la gestion des risques liés aux technologies de l’information et de la communication (TIC).

  • Responsabilité de la Direction Générale pour tous les risques informatiques,
  • Mise en place des règles de gouvernance et un contrôle interne (vérification des procédures de sécurité, analyse des dysfonctionnements …),
  • Elaboration d’une stratégie de résilience opérationnelle numérique,
  • Enfin, mise en place d’une politique complète de continuité des activités de TIC.

Prise en compte des incidents

  • Existence d’un registre répertoriant tous les incidents affectant les TIC et les cybermenaces (surveillance, traitement, suivi, authentification des causes des défaillances et remèdes préconisés).
  • Notification à l’ACPR ou l’AMF de tous les incidents et cybermenaces classés comme majeurs.

Obligation d’effectuer des tests de résilience opérationnelle numérique.

  • Tests a minima annuel (évaluation de la sécurité des réseaux, tests de performance, tests fondés sur des scénarii etc..).
  • Pour les très grandes entités financières (plus de 500 millions d’euros de primes brutes), des tests de pénétration fondés sur la menace c’est-à-dire simulant le mode opératoire de véritables attaques cyber.

Gestion du risque lié au recours à des prestataires tiers de services TIC

  • Tenue d’un registre des contrats souscrits avec tous ses prestataires.
  • Revue des contrats afin de vérifier que toutes les clauses telles que prévues par DORA sont bien insérées notamment celles concernant les modalités de résiliation du contrat…

Tous les accords contractuels devront être mis à disposition de l’ACPR et les nouveaux projets soumis à son appréciation.

Les sanctions

Pour rappel, les sanctions encourues par les personnes assujetties au contrôle de l’ACPR sont :

  • L’avertissement ;
  • Le blâme ;
  • L’interdiction d’effectuer certaines opérations pour une durée maximale de dix ans ;
  • La suspension temporaire de dirigeants pour une durée maximale de dix ans ;
  • La démission d’office des dirigeants ;
  • Le retrait partiel ou total d’agrément ou d’autorisation ;
  • La radiation de la liste des personnes agréées.

À la place ou en sus, une amende de 100 millions d’euros maximum ou 5 % du CA net peut être prononcée (article L. 612-39, et L.612-41 du code monétaire et financier).