DORA : le règlement européen sur la résilience opérationnelle numérique
DORA (Digital Operational Resilience Act) instaure un cadre européenne harmonisé afin de viser la résilience opérationnelle des organisations financières et d’assurance face au risque numérique.
DORA traduit la forte préoccupation du législateur face au risque cyber
- Risque singulier nécessitant une harmonisation des règles sectorielles à l’échelle européenne et une meilleure sensibilisation des autorités de surveillance aux cyber risques et aux incidents liés à l’informatique.
- Outils dédiés issus des règles sectorielles existantes développées par les AES et les superviseurs renforcées par les mesures ciblées comme la surveillance des prestataires critiques
Le règlement définit 6 mesures spécifiques à mettre en œuvre à horizon 2025 afin de pouvoir surveiller, tester et reporter sur la résilience des systèmes d’information :
- Gouvernance renforcée : mieux aligner les stratégies d’entreprise et former la gouvernance afin de piloter le cadre de gestion des risques informatiques et cyber (Article 4)
- Gestion des risques informatiques : mettre en place et maintenir un dispositif de gestion des risques informatiques (identification, protection/ prévention, détection, apprentissage / évolution, réponse/ rétablissement et communication) (Articles 5 à 14)
- Gestion des incidents liés aux TIC : mettre en place un dispositif de classification, gestion et d’information des incidents liés aux Technologies de l’Information et Communication « TIC » (Articles 15 à 20)
- Tests de résilience : tester de manière indépendante et régulière la résilience opérationnelle de l’organisation face au risque cyber (Articles 21 à 24)
- Gestion des tiers : garantir un suivi rigoureux des risques liés aux tiers TIC au regard de la maitrise du risque cyber (Articles 25 à 39)
- Partage d’information : partager les bonnes pratiques et retour d’expérience dans une logique d’amélioration continue (Article 40)
Aurexia a analysé pour vous les dispositions du règlement et leurs impacts opérationnels. N’hésitez pas à nous contacter pour une présentation détaillée de notre étude et de nos capacités d’accompagnement.