DORA

Le Digital Operational Resilience Act (DORA) (règlement sur la résilience opérationnelle numérique) de l’Union européenne est en vue. Ce règlement européen qui s’inscrit dans le cadre plus large du train de mesures sur la finance numérique (Digital Finance Package) aura des implications pour les prestataires de services financiers. Le règlement DORA vise à mettre au point une approche européenne favorisant le développement technologique et assurant la stabilité financière et la protection des consommateurs. La réglementation est d’application aux entreprises et organisations actives dans le secteur financier et aux fournisseurs de services critiques liés aux technologies de l’information et de la communication (TIC) tels que des plateformes d’informatique en nuage.

Pourquoi le DORA ?

En raison du risque toujours plus important de cyberattaques, l’Union européenne entend au moyen du règlement DORA renforcer la sécurité informatique des institutions financières telles que les banques, les entreprises d’assurances et les entreprises d’investissement. Le règlement DORA doit permettre au secteur financier européen de continuer à fonctionner en cas de perturbations opérationnelles majeures.

Qu’est-ce que cela signifie pour les assureurs ?

Les assureurs devront faire en sorte qu’ils puissent résister aux conséquences d’incidents liés aux TIC et à la cybercriminalité, d’y répondre et de s’en remettre. A cette fin, ils devront adapter leur cadre et leur gouvernance IT.

Impact concret pour les assureurs et leurs fournisseurs de services informatiques

  • Tests de la résilience opérationnelle numérique

Des normes européennes standardisées telles que des évaluations de la vulnérabilité et de la sécurité des réseaux, des analyses des lacunes et des tests de solutions logicielles vont s’appliquer.

  • Gestion des risques

De nouvelles règles pour pouvoir identifier et limiter d’une manière cohérente et fiable les risques liés aux TIC vont être instaurées. De nouvelles exigences pour le contrôle et la gouvernance en interne de cette gestion des risques voient également le jour.

  • Notification et gestion des incidents ICT

Les entreprises financières devront concevoir des systèmes pour la supervision, l’identification et la notification aux autorités compétentes d’incidents ICT significatifs.

  • Le partage d’informations

Le règlement DORA encourage les entreprises financières à partager des informations et des données en matière de cybersécurité avec des entreprises d’autres Etats membres.

  • Gestion des risques par des tiers

Le règlement DORA stipule que les fournisseurs externes de services TIC aux assureurs, parmi lesquels les fournisseurs de services d’informatique en nuage, soient réglementés par l’une des autorités européennes de surveillance (AES). Ces fournisseurs seront compétents pour collecter des informations, faire des recommandations et des requêtes, effectuer des inspections et même imposer des sanctions pour le non-respect des nouvelles règles européennes relatives à la gestion des risques et la résilience opérationnelle. Les entreprises financières devront également évaluer et documenter tous les risques potentiels de leurs prestataires externes de services TIC et veiller à ce que leurs contrats avec de telles entreprises spécifient leurs obligations légales sous la nouvelle législation.

Timing

Le règlement DORA entrera selon toute probabilité en vigueur au premier trimestre de 2023 et sera pleinement d’application début 2025, après une période de mise en oeuvre de deux ans. L’EIOPA affinera encore cette réglementation sur la base de ses « normes techniques », mais il est d’ores et déjà clair que les entreprises d’assurances devront procéder à de grands changements dans leur organisation et façon de travailler, et ce dans un laps de temps relativement court. Il est dès lors conseillé d’entamer les préparatifs dans les plus brefs délais. 

Le texte complet du règlement DORA peut être consulté sur EUR-lex, un site Web de l’Union européenne.

Publié le 22/11/2022

Abonnez-vous à notre newsletter !

Vous recevrez des articles exclusifs pour rester informé(e) de l’actualité du monde de l’assurance.