Bienveillance de l’Europe. Après l’adoption du règlement MiCA – marché des actifs cryptographiques – qui entrera en vigueur au début de l’année 2025, il est désormais temps pour les citoyens européens de se familiariser avec le DORA – Loi sur la résilience opérationnelle numérique. Selon le document émis par les autorités européennes, « cette nouvelle directive vise à combler une lacune critique dans la régulation financière de l’UE » en adressant « certains aspects opérationnels liés aux Technologies de l’Information et de la Communication (TIC) ». Si vous êtes friands du jargon technocratique bruxellois, restez avec nous pour un moment captivant.
- DORA sera mis en application en janvier 2025 afin de corriger une lacune dans la réglementation financière de l’Europe.
- Les institutions financières doivent gérer les risques associés aux TIC afin d’assurer la stabilité du système financier.
Le DORA prendra effet le 17 janvier 2025…
Avant la mise en œuvre de DORA, les responsables expliquent dans une note que les institutions financières géraient les risques opérationnels en prévoyant des fonds pour couvrir les pertes éventuelles, mais cette stratégie n’assurait pas la protection contre les risques TIC. Avec l’introduction du standard DORA, les acteurs du marché devront respecter des directives rigoureuses. En effet, « un manque de résilience opérationnelle représente une menace directe pour la stabilité du système financier dans son ensemble ».
Pour atteindre cet objectif, voici les exigences imposées aux entités financières :
- Gestion des risques en lien avec les technologies de l’information et de la communication (TIC)
- Signalement des incidents significatifs liés aux TIC et notification, sur une base volontaire, des cybermenaces majeures aux autorités compétentes
- Notification aux autorités des incidents graves concernant les opérations ou les paiements
- Évaluation de la résilience opérationnelle numérique
- Partage d’informations sur les cybermenaces et les vulnérabilités
- Mesurer la gestion des risques associés aux TIC pour les partenaires tiers
De plus, les arrangements contractuels avec les prestataires de services TIC devront également être pris en compte.
… afin de renforcer la résilience face aux perturbations des TIC
Ainsi, les entités financières devront réaliser « un inventaire complet de leurs accords contractuels avec les fournisseurs de services tiers TIC ». Ce registre servira d’outil de surveillance interne et d’information pour les instances de régulation des risques. Obligatoire, ce registre sera essentiel pour garantir la sécurité des infrastructures et gérer les risques associés aux cyberattaques et aux défaillances techniques.
Les responsables financiers interrogés par la presse spécialisée s’accordent à dire que cette directive est d’une importance cruciale. En effet, DORA va renforcer la sécurité de leurs infrastructures, même si certains affirment qu’ils n’ont pas attendu l’UE pour protéger leurs réseaux ! Par ailleurs, certains prestataires proposent déjà des audits et des services pour aider les entreprises à se conformer rapidement aux nouvelles obligations de DORA.
À l’heure où l’Amérique promet de nombreuses opportunités aux acteurs de l’industrie cryptographique, l’Europe joue en quelque sorte le rôle de l’épouvantail et pourrait en pâtir à cause de ses nombreuses régulations contraignantes. Néanmoins, si l’avenir s’avère favorable à Bruxelles, une régulation stricte et claire – c’est évident, non ? – pourrait contribuer à établir un secteur crypto compétitif à l’échelle continentale. Nous pourrons nous en rendre compte dans quelques années.
