RGPD
Le Règlement DORA , ou Digital Operational Resilience Act, est l'une des législations clés visant à renforcer la résilience numérique des acteurs financiers face à l'augmentation des menaces sur leurs infrastructures. Avec l'entrée en vigueur de ce règlement le 17 janvier 2025 , les incidents de séc
Temps de lecture :
5 min
Le Règlement DORA, ou Digital Operational Resilience Act, est l'une des législations clés visant à renforcer la résilience numérique des acteurs financiers face à l'augmentation des menaces sur leurs infrastructures. Avec l'entrée en vigueur de ce règlement le 17 janvier 2025, les incidents de sécurité informatique doivent être gérés et notifiés selon des exigences strictes imposées aux entités financières, notamment par l'Autorité de Contrôle Prudentiel et de Résolution (ACPR). Ce cadre réglementaire soulève des questions majeures sur la définition des incidents majeurs et l'efficacité des procédures de notification. Face aux enjeux liés à la sécurité des données et à la gestion proactive des incidents, il est crucial d'explorer ensemble les obligations et les recommandations qui découlent de ce règlement afin d'assurer une gestion optimale des situations de crise.
Si vous souhaitez avoir recours à un avocat en cybersécurité, contactez-moi !
Le Règlement DORA impose des obligations strictes en matière de notification des incidents de sécurité informatique majeurs, spécifiquement définis à l'article 19 de ce texte légal. À partir de la date d'entrée en vigueur, chaque entité financière doit notifier tout incident majeur à l'Autorité de Contrôle Prudentiel et de Résolution (ACPR) dans un délai de 4 heures après sa classification. Il est impératif de comprendre les différentes étapes de cette notification :
La définition d'un incident majeur, selon le règlement, est instructive : « Un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière ». Cela souligne l'importance des procédures de notification, qui ne doivent pas être prises à la légère.
Les critères de qualification d'un incident majeur sont également complétés par le Règlement délégué, introduisant ainsi de nouveaux aspects à considérer. La clarté de ces définitions est primordiale pour éviter des interprétations biaisées lors de la notification.
En somme, la gestion des incidents dans le cadre du Règlement DORA représente une immense responsabilité pour les entités financières, nécessitant une préparation adéquate afin de répondre efficacement aux exigences réglementaires et de garantir la sécurité des données. Un avocat spécialisé en droit des logiciels et des bases de données peut vous accompagner dans la mise en conformité de vos systèmes d'information.
Echangeons sur votre besoin pendant 15 min !
L'Autorité de Contrôle Prudentiel et de Résolution (ACPR) joue un rôle crucial dans la compréhension et la définition des incidents majeurs dans le cadre du Règlement DORA. Selon l'ACPR, le terme « incident majeur » ne se limite pas à un événement isolé mais doit être appréhendé sous un angle plus large et contextuel. L'autorité a établi des critères clairs qui permettent aux entités de mieux évaluer la gravité et l'impact potentiel de tels incidents.
Pour qualifier un incident comme majeur, plusieurs facteurs doivent être pris en compte :
Il est essentiel de s'appuyer sur ces critères pour garantir une classification rigoureuse des incidents et éviter ainsi toute confusion qui pourrait entacher la sécurité des données des entités financières. Cette vigilance est d'autant plus importante dans un contexte où les menaces informatiques évoluent rapidement.
Enfin, l'ACPR encourage les institutions à mettre en place des procédures de suivi et d'évaluation régulièrement afin d'affiner leur compréhension des incidents de sécurité et d'améliorer leur résilience numérique. L'adoption d'une approche proactive face à la gestion des incidents contribuera à renforcer la sécurité globale des services financiers et assurera une meilleure préparation en cas d'incident.
Je veux des documents juridiques fiables !
Face aux exigentes provisions du Règlement DORA et à la tendance de l'ACPR à adopter une interprétation large de la notion d'incidents majeurs, il est essentiel pour les Directeurs des Systèmes d'Information (DSI) de se préparer à la gestion de nombreux incidents potentiels. Cette préparation doit passer par la mise en place de mesures adaptées et efficaces.
Ainsi, les DSI, en étroite collaboration avec les Responsables de la Sécurité des Systèmes d'Information (RSSI), doivent :
Les DSI doivent considérer ces recommandations comme une réponse proactive aux défis posés par le Règlement DORA. L'application diligente de ces pratiques contribuera non seulement à respecter les obligations légales, mais renforcera également la résilience numérique des organisations face à une menace informatique de plus en plus omniprésente.
Avec ces mesures en place, les entités financières seront mieux armées pour faire face à un environnement en constante évolution où la gestion et la notification des incidents de sécurité informatique sont des enjeux cruciaux pour leur sauvegarde et leur succès.
Pour aller plus loin
Le règlement DORA impose aux entités financières de gérer et de notifier les incidents de sécurité informatique majeurs selon des exigences strictes. Cette obligation, encadrée notamment par l'ACPR, vise à assurer une réponse rapide et coordonnée face aux menaces sur les infrastructures financières.
Le règlement DORA est entré en vigueur le 17 janvier 2025. À compter de cette date, les incidents de sécurité informatique doivent être gérés et notifiés selon les exigences strictes imposées aux entités financières, dans une logique de résilience opérationnelle renforcée.
DORA distingue les incidents majeurs, soumis à notification obligatoire, des incidents de moindre gravité. La qualification d'incident majeur repose sur des critères définis par le règlement, liés notamment à l'impact sur les services et les données. Cette qualification déclenche les obligations de notification.
L'Autorité de contrôle prudentiel et de résolution (ACPR) est l'autorité compétente en France pour le suivi des obligations DORA des entités financières. Elle reçoit notamment les notifications d'incidents majeurs et veille au respect des exigences de résilience opérationnelle numérique.
La notification doit intervenir selon les délais et modalités fixés par DORA, auprès de l'autorité compétente. Elle suppose une procédure interne de détection, de qualification et de remontée des incidents majeurs, afin de permettre une réponse coordonnée et conforme aux exigences réglementaires.
La notification rapide des incidents majeurs permet une gestion proactive des crises et limite l'impact sur les services financiers et les données. DORA en fait une obligation centrale, car une réponse coordonnée est essentielle face à l'augmentation des menaces sur les infrastructures.
Le non-respect des obligations de notification prévues par DORA expose l'entité financière à des mesures de l'autorité compétente et à des sanctions. Au-delà, l'absence de gestion proactive des incidents accroît le risque opérationnel et l'exposition aux conséquences d'une cyberattaque.
Un avocat en cybersécurité aide à structurer les procédures de détection et de notification des incidents majeurs, à qualifier les incidents au regard de DORA et à dialoguer avec l'ACPR. Cet accompagnement sécurise la gestion de crise et la conformité de l'entité financière.
Vous avez encore des questions ?
Notre équipe est à disposition !
Une question ?

Ressources
Aller plus loin