Cybersécurité : le règlement DORA est entré en application

Quelles obligations pour le secteur financier ?

Le règlement DORA définit des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d’entités financières. Le texte comprend notamment des dispositions imposant à ces entités :

la mise en œuvre d’un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC) dont le risque cyber fait partie ;
la notification des incidents majeurs liés aux TIC aux autorités compétentes ;
la réalisation de tests de résilience opérationnelle numérique ;
la gestion du risque lié au recours à des prestataires tiers de services TIC, incluant notamment de nouvelles exigences au niveau contractuel ainsi que la tenue d’un registre d’information des accords contractuels conclus avec ces prestataires ;
le partage volontaire des informations opérationnelles relatives aux menaces d’origine cyber et vulnérabilités entre acteurs du secteur financier.

À noter :

Le règlement impose également un cadre de supervision au niveau européen pour les prestataires tiers de services TIC considérés comme critiques, c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans l’Union européenne.

Quelles sont les entités concernées par DORA ?

Le règlement DORA s’applique :

à la majorité des institutions financières (sociétés de gestion de portefeuille, infrastructures de marché, entreprises d’investissement, ou encore prestataires de services sur cryptoactifs) ;
aux fournisseurs de services TIC des entités financières.

Par ailleurs, certaines entités financières de petite taille, ainsi que les entités désignées sous le terme de micro-entreprises, pourront bénéficier de régimes simplifiés ou allégés de gestion des risques.

Certaines entités sont exclues du périmètre d’application du règlement. Il s’agit notamment :

des gestionnaires de fonds d’investissement alternatifs qui gèrent, directement ou indirectement, par l’intermédiaire d’une société avec laquelle ils sont liés dans le cadre d’une communauté de gestion ou de contrôle, ou par une importante participation directe ou indirecte, des portefeuilles de fonds d’investissement alternatifs (FIA) dont les actifs gérés ne dépassent pas le plafond AIFMD (Alternative Investment Fund Managers Directive) ;
des personnes physiques ou morales exemptées en vertu des articles 2 et 3 de la directive MIF 2.

Quelles sanctions en cas de manquement ?

Le règlement DORA laisse le soin aux États membres d’« adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales ».

Les trois points clés à retenir

Le règlement européen du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA) est entré en application le 17 janvier 2025.
Ce règlement définit des règles en matière de cybersécurité et de gestion des risques informatiques pour un grand nombre d’entités financières.
Le texte s’applique à la majorité des institutions financières et aux fournisseurs de services TIC des entités financières.