Directive DORA

Qu’est ce que le règlement DORA ?

Le Digital Operational Resilience Act (DORA), est un texte législatif majeur de l’Union européenne sur la cybersécurité des entités financières. En France il est désigné comme Règlement sur la résilience opérationnelle du numérique

Le Règlement DORA entrera en application le 17 janvier 2025, 2 ans après sa publication au Journal Officiel de l’UE. Basé sur le principe qu’une loi spécifique prime sur une loi généraliste, DORA précise et complète NIS2. Des sanctions peuvent être adoptées par les autorités compétentes en cas d’infraction aux obligations.

Les objectifs du règlement DORA

• Atteindre un niveau élevé de résilience opérationnelle numérique pour toutes les entités financières réglementées
• Développer, garantir et réévaluer l’intégrité et la fiabilité opérationnelle des entités financières
• Garantir la sécurité des réseaux et des systèmes d’information utilisés dans le cadre de la fourniture continue de services financiers, y compris en cas de perturbations
• Contraindre les entités financières à déployer des dispositifs pour non seulement se défendre mais résister en cas d’attaque

Les principales exigences :

Mettre en place un cadre de gestion du risque lié aux Technologies de l’Information et de la Communication (TIC) :

• Recommandation de déployer un SMSI basé sur l’ISO 27001
• Assurer son audit régulier et son amélioration continue
• Formation et sensibilisation de la Direction des employés, suivi des prestataires

Définir une stratégie de résilience opérationnelle numérique :

• Mécanismes de protection et de résilience des actifs
• Solutions de détection
• Veille sur les cybermenaces

Préparer des procédures de sauvegarde, de restauration et de rétablissement :

• Plans de communication en situation de crise
• Processus de gestion des incidents et plan de réponse
• Tests de résilience opérationnelle numérique

Digitemis propose la méthode suivante :