DORA, la nouvelle législation cybersécurité européenne pour les institutions financières est dorénavant en vigueur depuis le 17 janvier 2025.
Qu’est-ce que DORA ?
Le Digital Operational Resilience Act (DORA) est un règlement de l’Union européenne conçu pour renforcer la sécurité informatique des entités financières, telles que les banques, les compagnies d’assurance et les sociétés d’investissement. En vigueur depuis le 17 janvier 2025, DORA oblige les institutions financières à respecter un cadre rigoureux visant à prévenir et à gérer efficacement les cyberincidents majeurs.
DORA marque ainsi une nouvelle étape de réglementation dans la résilience opérationnelle numérique du secteur financier européen. En harmonisant les exigences en matière de cybersécurité, cette réglementation vise à protéger les entités financières des menaces numériques et à assurer la continuité des services financiers.
Les objectifs et la portée de cette législation DORA
DORA vise à garantir que le secteur financier européen reste résilient face aux perturbations opérationnelles et aux cybermenaces. Il harmonise les règles relatives à la résilience opérationnelle pour environ 20 types d’entités financières et de prestataires de services tiers en technologies de l’information et de la communication (TIC).
Les principaux domaines couverts par DORA incluent :
- Gestion des risques liés aux TIC : Mise en place de cadres de gestion des risques informatiques rigoureux.
- Gestion des risques des tiers fournisseurs de TIC : Surveillance des prestataires tiers et établissement de dispositions contractuelles spécifiques.
- Tests de résilience opérationnelle numérique : Réalisation de tests de base et avancés pour évaluer la résilience des systèmes.
- Gestion des incidents liés aux TIC : Mise en place de procédures pour signaler rapidement les incidents majeurs aux autorités compétentes.
- Partage d’informations : Promotion de l’échange d’informations et de renseignements sur les cybermenaces.
- Surveillance des fournisseurs tiers critiques : Introduction d’un cadre de supervision spécifique pour les prestataires critiques de TIC, garantissant une réduction des risques associés et une meilleure gestion contractuelle.
Ces mesures visent à protéger les entités financières contre les cyberattaques et à assurer la continuité des services financiers en cas de perturbation.
Les conséquences d’une non-conformité
Le non-respect des exigences de DORA entraîne des conséquences significatives pour les institutions financières et leurs fournisseurs de technologies. Bien que les sanctions précises puissent varier, elles incluent des amendes proportionnelles à la gravité des violations, similaires à celles du RGPD. En cas de violations graves ou répétées, les autorités peuvent suspendre ou résilier des contrats.
Au-delà des sanctions financières, les organisations non conformes risquent de subir des dommages réputationnels majeurs et de perdre la confiance de leurs clients et partenaires. Ces conséquences accentuent la nécessité pour les entreprises financières de s’assurer d’une conformité totale à DORA.
Comment les entreprises doivent-elles se préparer ?
Avec l’application effective de DORA, les institutions financières doivent s’assurer de la mise en place de cadres robustes pour la gestion des risques numériques. Selon cette législation, cela inclut des tests réguliers de résilience, la gestion accrue des tiers fournisseurs, ainsi que des rapports efficaces sur les incidents.
Certaines entreprises technologiques, comme Google Cloud, ont déjà adapté leurs services pour soutenir les institutions dans leur conformité à DORA. Ces adaptations incluent la mise à jour des contrats et la fourniture de services d’alerte sur les incidents liés aux TIC.
Par ailleurs, les entités doivent également investir dans la sensibilisation de leur personnel et le développement de stratégies proactives pour répondre efficacement aux cybermenaces.
DORA et la directive NIS : quelles différences ?
La directive NIS (Network and Information Systems) et le règlement DORA se distinguent par leur portée, leurs objectifs et les secteurs qu’ils ciblent. Voici leurs principales différences :
- Objectifs principaux : La directive NIS vise à améliorer la cybersécurité dans plusieurs secteurs critiques (santé, énergie, transports, etc.), tandis que DORA cible exclusivement le secteur financier pour renforcer sa résilience opérationnelle numérique.
- Portée sectorielle : La directive NIS concerne un large éventail d’opérateurs de services essentiels, alors que DORA s’adresse spécifiquement aux institutions financières et à leurs prestataires TIC critiques.
- Gestion des tiers fournisseurs : DORA impose un cadre de supervision pour les fournisseurs tiers critiques, une spécificité absente de la directive NIS.
- Tests de résilience et sanctions : DORA prévoit des tests rigoureux de résilience et des sanctions harmonisées similaires au RGPD, alors que NIS laisse une certaine flexibilité aux États membres pour définir les sanctions.
En conclusion, ces deux cadres sont donc complémentaires : NIS établit les bases d’une cybersécurité globale, tandis que DORA approfondit ces exigences pour le secteur financier.
Pour en savoir plus
Loi sur la résilience opérationnelle numérique (DORA)
Le Digital Operational Resilience Act (DORA) est un règlement de l’UE entré en vigueur le 16 janvier 2023 et s’appliquera à compter du 17 janvier 2025.
Son objectif est de renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les sociétés d’investissement et de garantir que le secteur financier européen soit en mesure de rester résilient en cas de perturbation opérationnelle grave.
DORA apporte une harmonisation des règles relatives à la résilience opérationnelle du secteur financier s’appliquant à 20 types différents d’entités financières et de prestataires de services tiers TIC.

Seules 26 % des plus grandes entreprises européennes obtiennent une note élevée en matière de cybersécurité
Alors que l’échéance du Digital Operational Resilience Act (DORA) de l’UE approche le 17 janvier 2025, les 100 plus grandes entreprises européennes sont confrontées à un défi urgent en matière de cybersécurité, selon SecurityScorecard. Les entreprises notées A sont plus à l’abri des violations Le rapport souligne le rôle de la notation A à F de SecurityScorecard…

La réglementation DORA de l’UE est arrivée. Google Cloud est prêt à vous aider
Alors que la loi sur la résilience opérationnelle numérique (DORA) entre en vigueur aujourd’hui, les entités financières de l’UE doivent atteindre un nouveau niveau de résilience opérationnelle face à des menaces numériques en constante évolution. Chez Google Cloud, nous partageons votre engagement envers…

Cybersécurité : La directive Dora entre en vigueur aujourd’hui
L’article Cybersécurité : La directive Dora entre en vigueur aujourd’hui est apparu en premier sur Maddyness – Le média pour comprendre l’économie de demain.

(Re)découvrez également:
NIS2 : Les nouvelles règles pour renforcer la cybersécurité dans l’UE
Le 17 octobre 2024, la Commission européenne a introduit de nouvelles règles pour renforcer la cybersécurité des entités critiques, s’inscrivant dans la directive NIS2.

Comment les réseaux criminels européens exploitent les structures légales
Les réseaux criminels infiltrent les entreprises légales en Europe pour blanchir des fonds, exacerbant des menaces économiques et sécuritaires, selon le dernier rapport d’Europol.
