DORA
Qu'est-ce que DORA ?
DORAReglement UE 2022/2554 sur la resilience operationnelle numerique du secteur financier, applicable a compter du 17 janvier 2025.
Le reglement sur la resilience operationnelle numerique (DORA, reglement UE 2022/2554) est un reglement europeen d'application directe qui harmonise la gestion des risques TIC, la notification d'incidents, les tests de resilience et les obligations relatives aux prestataires tiers pour les entites financieres. Adopte en decembre 2022, DORA s'applique depuis le 17 janvier 2025 et couvre banques, etablissements de paiement, assureurs, entreprises d'investissement, prestataires de services sur crypto-actifs et prestataires TIC critiques. Il impose un cadre documente de gestion des risques TIC, la classification et la notification des incidents majeurs, des tests d'intrusion fondes sur la menace (TLPT) pour les entites significatives et des garanties contractuelles pour l'externalisation TIC. Les autorites europeennes de surveillance (EBA, EIOPA, ESMA) elaborent les normes techniques et supervisent les prestataires critiques.
● Exemples
- 01
Une banque de detail europeenne realisant un test TLPT et notifiant un incident TIC majeur dans les delais reglementaires.
- 02
Un fournisseur de cloud designe comme tiers TIC critique soumis a la supervision directe de l'UE.
● Questions fréquentes
Qu'est-ce que DORA ?
Reglement UE 2022/2554 sur la resilience operationnelle numerique du secteur financier, applicable a compter du 17 janvier 2025. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie DORA ?
Reglement UE 2022/2554 sur la resilience operationnelle numerique du secteur financier, applicable a compter du 17 janvier 2025.
Comment fonctionne DORA ?
Le reglement sur la resilience operationnelle numerique (DORA, reglement UE 2022/2554) est un reglement europeen d'application directe qui harmonise la gestion des risques TIC, la notification d'incidents, les tests de resilience et les obligations relatives aux prestataires tiers pour les entites financieres. Adopte en decembre 2022, DORA s'applique depuis le 17 janvier 2025 et couvre banques, etablissements de paiement, assureurs, entreprises d'investissement, prestataires de services sur crypto-actifs et prestataires TIC critiques. Il impose un cadre documente de gestion des risques TIC, la classification et la notification des incidents majeurs, des tests d'intrusion fondes sur la menace (TLPT) pour les entites significatives et des garanties contractuelles pour l'externalisation TIC. Les autorites europeennes de surveillance (EBA, EIOPA, ESMA) elaborent les normes techniques et supervisent les prestataires critiques.
Comment se défendre contre DORA ?
Les défenses contre DORA combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de DORA ?
Noms alternatifs courants : Digital Operational Resilience Act, Reglement (UE) 2022/2554.
● Termes liés
- compliance№ 730
Directive NIS2
Directive UE 2022/2555 qui rehausse les exigences de cybersecurite de base et les obligations de notification d'incidents pour les entites essentielles et importantes dans l'Union.
- compliance№ 1144
Gestion des risques tiers (TPRM)
Discipline de bout en bout pour identifier, évaluer, contractualiser, surveiller puis sortir des tiers afin que les risques cyber, opérationnels et de conformité qu'ils introduisent restent dans l'appétence.
- forensics-ir№ 525
Plan de réponse à incident
Document approuvé décrivant comment l'organisation se prépare, détecte, contient, éradique, restaure et tire les leçons d'un incident cyber.
- defense-ops№ 813
Test d'intrusion
Cyberattaque simulée et autorisée contre des systèmes, applications ou personnes pour identifier les faiblesses exploitables avant les véritables adversaires.
- compliance№ 440
RGPD
Règlement général sur la protection des données de l'Union européenne, encadrant le traitement des données personnelles des personnes situées dans l'UE et l'EEE.