La directive DORA (Digital Operational Resilience Act) est un règlement européen adopté en novembre 2022, qui vise à renforcer la résilience opérationnelle numérique du secteur financier, y compris dans la gestion d’actifs.
Les objectifs visés par DORA
DORA ne traite pas de la stabilité financière classique, mais plutôt de la capacité des acteurs financiers à résister et à se remettre des incidents liés aux technologies de l’information et de la communication (TIC), comme :
- des cyberattaques,
- des pannes informatiques,
- ou des défaillances de prestataires technologiques (cloud, etc.).
Quels sont les secteurs concernés ?
La directive s’applique à presque tous les acteurs du secteur financier, notamment :
- Les sociétés de gestion d’actifs,
- Les banques,
- Les compagnies d’assurance,
- Les prestataires de services sur crypto-actifs (PSAN),
- Les infrastructures de marché (chambres de compensation, Bourses…),
- Et même certains prestataires tiers de services TIC.
Qu’est-ce que couvre DORA ?
Gestion des risques liés aux TIC
- Chaque entreprise doit identifier, classer et gérer les risques numériques.
- Elle doit adopter des politiques de sécurité, de gestion des incidents, de sauvegarde, etc.
Surveillance et tests
- Des tests réguliers (ex : tests de pénétration) pour évaluer la capacité à faire face à des cybermenaces.
Reporting des incidents
- Obligation de notifier rapidement les incidents majeurs aux autorités compétentes.
Gestion des tiers
- Les relations avec les fournisseurs technologiques (cloud, logiciels, services IT…) doivent être documentées, encadrées et surveillées.
- Possibilité pour les autorités d’intervenir en cas de dépendance critique à un prestataire.
Coordination européenne
- Une supervision à l’échelle de l’UE est prévue, notamment via l’ESMA, l’EBA et l’EIOPA.
Entrée en vigueur de DORA
Le règlement DORA est entré en application le 17 janvier 2025, et n’exige pas de transposition nationale puisqu’il s’agit d’un règlement européen directement applicable.
