Retour sur Advens.fr
Cyber Légale Article

Application du règlement DORA : ce qui change pour vos équipes 

21 mars 2025 6 min de lecture
Reglement DORA
Sommaire :

La nouvelle ne vous a pas échappé : le règlement DORA (Digital Operational Resilience Act) est entrée en application récemment, en janvier 2025. On répète souvent que cette nouvelle réglementation marque un tournant majeur pour les entreprises du secteur financier en Europe. Et pour cause : elle leur impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC). 

Mais concrètement, quels sont les changements à prévoir pour vos équipes ? Nous faisons le point. 

Le règlement DORA : une application progressive 

Pour plus de contexte, voici un court rappel de la chronologie de la directive DORA. 

  • Décembre 2020 : le règlement est proposé par la Commission européenne dans le cadre de son plan d’action pour la finance numérique. 
  • 10 novembre 2022 : après plusieurs discussions, débats et amendements, le Parlement européen et le Conseil de l’UE adoptent le règlement. 
  • 27 décembre 2022 : le règlement DORA est publié au Journal officiel de l’Union européenne. 
  • 16 janvier 2023 : DORA entre en vigueur. 
  • 17 janvier 2025 : DORA entre en application. 

Rappel

Une entrée en vigueur marque le moment où une loi ou un règlement devient officiellement valide, tandis qu’une entrée en application désigne le moment où ses dispositions doivent effectivement être mises en œuvre.

 Mais attention : même si le règlement est entré en application en janvier, les entreprises bénéficient d’un délai de trois ans pour se mettre en conformité. Les nouvelles normes et réglementations – à fortiori lorsqu’elles impliquent plusieurs pays – sont toujours mises en œuvre sur des durées étendues afin de laisser le temps à tous les acteurs (ici, les acteurs du secteur financier) de s’informer et de s’adapter. 

DORA : un impact direct sur l’organisation interne 

La cybersécurité, un nouveau sujet de gouvernance stratégique 

Avec DORA, la cybersécurité n’est plus seulement une question technique ; elle devient un véritable enjeu de gouvernance d’entreprise. Les organisations sont tenues de mettre en place des processus et des tests récurrents pour s’assurer que les risques TIC sont correctement identifiés, évalués et traités.  

Les dirigeants, quant à eux, doivent désormais intégrer la gestion des risques TIC dans leurs décisions stratégiques. Conséquence : une implication et une responsabilité accrues de leur part. 

De nouvelles obligations  

Le règlement DORA introduit de nouvelles obligations de reporting et de communication, qui visent à renforcer la transparence et la réactivité des entreprises face aux incidents liés aux TIC. Ces obligations sont conçues pour garantir que les autorités européennes de surveillance disposent des informations nécessaires pour évaluer – mais aussi gérer – les risques propres aux entités financières.  

Obligation #1 : la déclaration des incidents majeurs 

Les entreprises doivent déclarer tous les incidents majeurs liés aux TIC qu’elles subissent aux autorités de supervision. Cette exigence concerne les cyberattaques, mais aussi les pannes de systèmes et fonctions critiques.  

Lorsqu’une organisation effectue une déclaration, elle doit préciser :  

  • la nature de l’incident ; 
  • la date et l’heure de détection ; 
  • les systèmes et données affectés ; 
  • les mesures immédiates prises pour contenir l’incident ; 
  • les impacts potentiels sur les clients et les services financiers

Les déclarations devront être faites rapidement, dans un délai de 24 heures après la détection de l’incident. Une rapidité essentielle pour permettre aux autorités compétentes de prendre des mesures préventives et correctives le plus vite possible. 

Obligation #2 : le registre des accords avec les fournisseurs de services 

En plus des déclarations d’incidents, les entreprises doivent maintenant tenir un registre de tous les accords passés avec leurs fournisseurs de services TIC. Pour chacun d’entre eux, devront être renseignés :  

  • le nom et les coordonnées du fournisseur ; 
  • la nature des services fournis ; 
  • les niveaux de service convenus ; 
  • les clauses de sécurité et de résilience

Ce n’est pas tout : les organisations doivent également s’assurer que ces accords incluent des clauses spécifiques garantissant la conformité des fournisseurs aux nouvelles exigences du règlement DORA.  

Obligation #3 : les audits et vérifications 

Pour garantir la conformité aux nouvelles obligations du règlement DORA, les entreprises doivent se soumettre à des audits réguliers. Réalisés par des organismes internes ou externes, ces audits visent à vérifier que les processus de déclaration des incidents et de gestion des tiers sont bien en place et respectés.  

Comme d’habitude, les résultats de ces audits doivent être documentés et conservés pour être présentés aux autorités de supervision en cas de besoin. 

Les sanctions prévues 

Une fois passé le délai des trois ans accordés aux entreprises pour se mettre en conformité, le non-respect des obligations du règlement DORA peut entraîner des sanctions sévères. Amendes, mesures correctives… Les autorités de supervision disposent de pouvoirs accrus pour agir en cas de manquement.  

Les dirigeants sont également tenus responsables de la mise en place effective des processus de déclaration et de gestion des incidents : leur rôle dans la gouvernance de la cybersécurité n’est donc plus à débattre. 

Quels départements sont concernés et comment se préparer ? 

L’équipe cybersécurité et IT : le cœur du réacteur 

L’équipe cybersécurité et IT joue bien évidemment un rôle crucial dans la mise en conformité avec DORA. Il est de sa responsabilité de :   

  • mettre en place un cadre de gestion des risques TIC ;  
  • renforcer les audits de sécurité, les pentests et les tests de résilience opérationnelle ;  
  • développer les capacités de détection et de réponse aux incidents. 

La direction Achats : garante de la sécurité des prestataires 

La direction Achats étant chargée de la gestion des fournisseurs, son rôle est de contrôler la conformité des sous-traitants aux exigences de DORA. Cela inclut notamment l’intégration de clauses spécifiques dans les contrats, pour garantir que tous les prestataires de services TIC de l’entreprise respectent les normes de sécurité et de résilience imposées par la directive. L’objectif est de contrôler les risques liés aux prestataires tiers de services

La direction des Ressources humaines : alliée de la sensibilisation 

La direction des Ressources humaines peut aider l’équipe cybersécurité à mettre en place des sessions de formation obligatoires pour tous les employés. L’objectif ? Développer une culture de la gestion des risques au sein de l’entreprise, en sensibilisant les collaborateurs aux bonnes pratiques de sécurité et en les formant à réagir efficacement en cas d’incident.  

Le règlement DORA : contrainte ou opportunité ? 

Le principal défi que le règlement DORA pose aux entreprises est le suivant : intégrer la cybersécurité à tous les niveaux de l’organisation. Un tel résultat nécessitera une réelle transformation culturelle et organisationnelle interne. D’un autre côté, cette nouvelle réglementation est aussi une opportunité pour les organisations de gagner en maturité et en résilience opérationnelle numérique face aux cyberattaques – tout en garantissant la continuité des services financiers. 

En bref, en anticipant les changements et en préparant vos équipes, vous pouvez transformer cette contrainte réglementaire en un levier de compétitivité et de sécurité. La bonne nouvelle, c’est qu’Advens peut vous accompagner ! Envie d’explorer le règlement en profondeur ? Découvrez notre live blanc dédié ! 

Livre blanc reglement DORA

Sur le même sujet…
Conformite DORA
Cyber Légale Article

Assurer sa conformité DORA en 5 étapes 

13 mars 2025 6 min
Cyberassurance
Sécurité opérationnelle Article

Cyberassurance : comment assurer son entreprise contre les risques Cyber ? 

10 mars 2025 6 min
Gestion de crise cyber
Sécurité opérationnelle Article

7 méthodes à privilégier pour éviter une crise cyber majeure

24 février 2025 6 min

Retour à la page Cyber Légale