Bienvenue sur le site des Experts du patrimoine

Site de référence d’information juridique pour tout ce qui concerne les problématiques patrimoniales Notaires, professionnels de l’immobilier, de la gestion de patrimoine, de la banque, des finances et de l’assurance vous disent tout !

Nouveau !

Devenez auteur !

Retrouvez aussi l’actualité des legs et donations / rubrique associations

+ management des offices

 
  /  Quartier des finances

Entrée en vigueur de DORA, un règlement européen pour améliorer la résilience numérique des institutions financières

Christian-Olivier Kajabika
Rédaction des Experts du Patrimoine (Village des Notaires)

  • paru le 3 mars 2025

Entrée en vigueur de DORA, un règlement européen pour améliorer la résilience numérique des institutions financières

À quelques semaines de l’entrée en application du règlement européen Digital Operational Resilience Act (DORA), l’Autorité des Marchés Financiers (AMF) a mis à disposition des acteurs du secteur financier un dossier thématique détaillant les obligations de gestion des risques liés aux technologies de l’information et de la communication (TIC). Ce règlement, qui vise à renforcer la résilience numérique des institutions financières, a pris effet depuis le 17 janvier 2025, avec des exigences spécifiques liées à la notification des incidents majeurs devant être soumises d’ici le 30 avril 2025.

Qu’est-ce que le règlement DORA ?

Le règlement DORA vise à renforcer la résilience numérique du secteur financier en établissant un cadre de gestion des risques liés aux technologies de l’information et à la cybersécurité. Il impose des règles strictes sur la gestion des incidents majeurs, les tests de résilience et la gestion des prestataires tiers.

Les principales obligations pour les entités financières sont :

  • Mettre en place un cadre de gestion des risques TIC, avec un focus sur la cybersécurité ;
  • Signaler les incidents majeurs liés aux TIC aux autorités ;
  • Réaliser des tests réguliers de résilience numérique ;
  • Gérer les risques liés aux prestataires tiers avec des exigences contractuelles et un registre des accords ;
  • Partager volontairement des informations sur les menaces et vulnérabilités cyber au sein du secteur.

Un dossier thématique pour accompagner les entités financières

Afin d’aider les entités financières à se conformer aux nouvelles obligations de DORA, l’AMF a publié un dossier thématique détaillant les principales mesures du règlement. Ce dossier présente des explications sur la gestion des incidents majeurs, la tenue du registre des prestataires tiers, ainsi que des recommandations pratiques pour assurer une mise en œuvre efficace du règlement.

Qui est concerné par DORA ?

Le règlement DORA s’applique à une large gamme d’entités financières, telles que les sociétés de gestion de portefeuille, les infrastructures de marché, les entreprises d’investissement (y compris sous la Directive MIF 2) et les prestataires de services de crypto-actifs. Il inclut également les prestataires tiers de services TIC critiques, désignés par les autorités européennes (ESMA, EBA, EIOPA) en 2025.

Le règlement prévoit un principe de proportionnalité : les microentreprises et petites entités financières peuvent bénéficier de régimes simplifiés, notamment pour la gestion des risques TIC. Tandis que certaines entités, comme les gestionnaires de fonds d’investissement alternatifs à petite échelle, sont exclues.

Les principales mesures de DORA

1. Gestion du risque TIC

Les entités financières doivent établir un cadre de gouvernance pour gérer les risques TIC, incluant :

  • Identification et évaluation des risques avec révision annuelle ;
  • Politique de sécurité de l’information pour assurer la confidentialité, l’intégrité et la disponibilité des données ;
  • Plan de continuité des activités TIC et communication en cas de crise. ;
  • Formation du personnel et audits réguliers.

2. Notification des incidents majeurs

Les incidents majeurs doivent être classés et notifiés aux autorités compétentes. Les critères incluent la criticité des services, le nombre de clients impactés, et les pertes économiques. Un rapport initial, intermédiaire et final doit être envoyé.

3. Tests de résilience opérationnelle numérique

Des tests réguliers de résilience doivent être réalisés, incluant des évaluations de vulnérabilité et des tests de pénétration, au moins une fois par an. Pour les entités systémiques, des tests approfondis sont requis tous les trois ans.

4. Gestion des risques liés aux prestataires tiers de services TIC

Les entités doivent :

  • Mettre en place un cadre de gestion des risques pour les prestataires externes.
  • Signer des contrats conformes à DORA, incluant des clauses de sécurité.
  • Tenir un registre des accords contractuels, soumis annuellement aux autorités.
  • Réaliser des audits pré-contractuels pour vérifier la conformité des prestataires.

5. Notification des cyber-menaces

Les entités doivent signaler volontairement les cyber-menaces importantes, bien que ce ne soit pas obligatoire, pour anticiper les risques dans le secteur.

Textes d’application et normes techniques

Le règlement DORA prévoit l’adoption de textes d’application détaillant les exigences précises pour les entités financières, dont des normes techniques de réglementation (RTS) et d’exécution (ITS). Ces textes, élaborés par les autorités européennes de supervision, fournissent des précisions sur la gestion des risques TIC, la classification des incidents, les tests de résilience et la gestion des prestataires tiers.

Pour consulter le règlement (UE) 2022/2554 du Parlement européen du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier en intégralité :

Pour consulter le dossier thématique de l’AMF à propos de DORA :

  • Entrée en vigueur de DORA, un règlement européen pour améliorer la résilience numérique des institutions financières

    Christian-Olivier Kajabika
    Rédaction des Experts du Patrimoine (Village des Notaires)

Commenter cet article

Vous pouvez lancer ou suivre une discussion liée à cet article en cliquant et rédigeant votre commentaire. Votre message n’apparaîtra qu’après avoir été relu et approuvé. Nous ne publions pas de commentaires diffamants, publicitaires ou agressant un autre intervenant.

A lire aussi dans la même rubrique :

Enquête février 2025 du Cercle des Épargnants : focus sur les Français et l’investissement

  • 28 mars 2025

Sensibilisation à l’épargne : un facteur clé dans la construction du patrimoine L’étude révèle que la sensibilisation à l’épargne dès le plus jeune âge est un facteur déterminant dans l’adhésion aux produits financiers à l’âge adulte. Un élément intéressant (...)

Lire la suite ...

Enquête février 2025 du Cercle des Épargnants : Focus sur les Français et l’épargne (partie 1)

  • 6 mars 2025

Épargner par précaution L’une des conclusions majeures de l’enquête est l’augmentation significative de la part des Français envisageant d’épargner davantage. En 2025, un record de répondants prévoit de renforcer leur épargne, tandis que la proportion de (...)

Lire la suite ...

Tension sur le marché du financement participatif immobilier : l’AMF appelle à plus de transparence

  • 12 février 2025

Rendement en hausse dans un contexte tendu Au cours des dernières années, les perspectives de rendement offertes par les projets de financement participatif immobilier ont montré une relative stabilité, oscillant entre 9,1 % et 9,6 % en moyenne (...)

Lire la suite ...

Les couacs de « Gérer mes biens immobiliers » pointés par la Cour des comptes

  • 10 février 2025

Une campagne 2023 chaotique et des coûts explosifs Le déploiement de GMBI a été marqué par de multiples écueils. La première campagne de recensement, lancée en 2023, a été plutôt désastreuse. Plus d’un million de contribuables ont été imposés à tort à la (...)

Lire la suite ...