Règlement UE
DORA : Digital Operational Resilience Act
Détails et contexte
Adopté le 14 décembre 2022 sous la référence règlement (UE) 2022/2554, DORA vise à combler la fragmentation des règles nationales en matière de cyber-résilience financière. Le texte harmonise les règles pour 21 types d'entités financières différents, parmi lesquelles établissements de crédit, établissements de paiement, gestionnaires de fonds, plateformes de négociation, et prestataires de services sur crypto-actifs.
DORA établit un cadre de supervision au niveau UE pour les prestataires tiers TIC jugés critiques, afin de remédier aux risques systémiques et de concentration liés à la dépendance du secteur financier vis-à-vis d'un nombre limité de fournisseurs. Le règlement s'articule autour de cinq piliers : gouvernance et gestion des risques TIC, signalement des incidents majeurs, tests de résilience numérique incluant des exercices avancés (TLPT), gestion du risque tiers, et partage d'informations sur les cybermenaces.
Lien avec NIS2
Les entités financières peuvent relever à la fois de DORA et de NIS2. DORA est considéré comme lex specialis (législation sectorielle spécifique) pour le secteur financier : là où DORA et NIS2 se chevauchent, les exigences DORA s'appliquent. Concrètement, l'article 1(2) de DORA précise que le règlement est sectoriel vis-à-vis de NIS2 pour les entités financières, et DORA s'appliquera en lieu et place de NIS2 dans la plupart des cas.
Pour les DSI/RSSI d'entités financières : mise en conformité prioritaire DORA, les obligations NIS2 restant applicables en dehors du champ couvert par DORA (sécurité de la chaîne d'approvisionnement notamment).