Nous contacter

Comprendre le règlement sur la résilience opérationnelle numérique (DORA)

DORA Financial reporting
Publié 18 févr. 2025  | 4 min. de lecture
  • Image of Janis Steinmann

    Janis Steinmann

Dans un monde digital en constante évolution, la protection des systèmes financiers contre les cybermenaces et les interruptions opérationnelles est devenue une priorité pour les régulateurs du monde entier. L’un des principaux développements réglementaires dans ce domaine est la loi européenne sur la résilience opérationnelle numérique (DORA). Chez Lucanet, nous nous engageons à aider les institutions financières à surmonter ces défis réglementaires grâce à notre logiciel financier de pointe. Dans cet article, nous examinerons les points clés de DORA : sa définition, son calendrier de mise en œuvre, les entités concernées et son cadre de responsabilité.

 

Qu’est-ce que DORA (Digital Operational Resilience Act) ?

DORA est un règlement qui renforce la résilience numérique du secteur financier européen. L’objectif principal de DORA est de garantir que tous les acteurs du système financier disposent des protections nécessaires pour résister, réagir et se remettre des perturbations et menaces digitales. Ce règlement couvre un large éventail d’exigences, allant de solides protocoles de gestion des risques liés aux TIC jusqu’au reporting rigoureux des incidents, en passant par à la surveillance des risques liés aux tiers.

La supervision et l’application de DORA relèvent des autorités européennes et nationales. Deux entités principales sont aux commandes :

  • Les Autorités européennes de surveillance (AES) - Comprenant l’ABE (Autorité bancaire européenne), l’AEAPP (Autorité européenne des assurances et des pensions professionnelles) et l’AEMF (Autorité européenne des marchés financiers). Ces autorités fourniront des directives, une supervision et une application au niveau de l’UE.
  • Les Autorités nationales compétentes (ANC) - Chaque État membre de l’UE impliquera ses ANC respectives pour surveiller la conformité au niveau national, garantissant ainsi que les entités respectent les réglementations dans leur juridiction.

 

Quand le règlement DORA entrera-t-il en vigueur ?

Le Parlement européen et le Conseil ont adopté DORA en novembre 2022. Conformément à la réglementation, la directive entrera officiellement en application le 17 janvier 2025. Ce calendrier de mise en œuvre offre aux entités financières une période de transition pour aligner leurs opérations et leurs systèmes conformément aux nouvelles exigences réglementaires.

 

Qui doit effectuer un reporting dans le cadre de DORA ?

DORA englobe un large éventail d’acteurs du secteur financier. Les types d’entreprises suivants doivent se conformer à la réglementation et produire un rapport :

  1. Établissements de crédit - Banques traditionnelles et banques en ligne.
  2. Sociétés d’investissement - Entreprises offrant des services et activités d’investissement.
  3. Compagnies d’assurance et de réassurance - Entreprises offrant divers produits d’assurance.
  4. Établissements de paiement - entreprises fournissant des services de paiement.
  5. Établissements de monnaie électronique - Entreprises émettant de l’argent numérique.
  6. Prestataires de services sur actifs numériques (PSAN) - Entreprises offrant des services liés aux cryptomonnaies.
  7. Plateformes de négociation et contreparties centrales - Comprenant les bourses et les chambres de compensation.
  8. Infrastructures des marchés financiers - Comme les dépositaires centraux de titres.
  9. Prestataires tiers de services informatiques - Fournisseurs de services technologiques essentiels pour les institutions financières (notamment les fournisseurs de services Cloud et les centres de données).

 

Selon les estimations, plus de 22 000 entités dans l’UE seront soumises aux exigences de reporting définies par DORA. Ce vaste réseau d’information assure une protection complète des opérations numériques de l’industrie financière.

 

Les cinq piliers essentiels de DORA

DORA repose sur cinq piliers essentiels pour renforcer la résilience opérationnelle numérique des institutions financières : 

  1. Gestion des risques informatiques : Les entreprises doivent mettre en place des cadres complets de gestion des risques informatiques. Il s’agit d’identifier, d’évaluer et de réduire les risques liés aux TIC pour éviter les perturbations. Les entreprises financières doivent régulièrement mettre à jour et tester leurs politiques de gestion des risques pour s’adapter aux menaces changeantes.
  2. Signalement d’incidents : Les entités doivent mettre en place des mécanismes solides de signalement des incidents. Les incidents importants liés aux TIC doivent être signalés rapidement aux autorités compétentes. Ce pilier garantit une réaction rapide aux incidents, réduisant ainsi les dommages potentiels.
  3. Test de résilience opérationnelle numérique : Il est obligatoire de tester régulièrement la résilience opérationnelle numérique. Les institutions financières doivent évaluer leurs vulnérabilités, effectuer des tests d’intrusion et des tests ciblés pour garantir la résistance et la récupération de leurs systèmes face aux cybermenaces et aux perturbations opérationnelles.
  4. Gestion des risques liés aux tiers : Étant donné la dépendance aux prestataires informatiques externes, DORA souligne l’importance de surveiller et gérer les risques liés à ces tiers. Les entreprises financières doivent s’assurer que leurs prestataires externes respectent des normes de résilience similaires et disposent de plans d’urgence.
  5. Partage d’informations : DORA encourage le partage d’informations sur les menaces cybernétiques et les risques informatiques entre les institutions financières. Cette approche collaborative aide à identifier les menaces émergentes et à améliorer la préparation collective.

 

Se préparer à DORA

Pour se préparer aux changements réglementaires à venir, l’Autorité bancaire européenne (ABE) a lancé un exercice volontaire (Dry run) DORA. Cette mesure proactive vise à tester et améliorer les mécanismes de reporting établis par DORA. La simulation permet aux institutions financières de tester la mise en œuvre des exigences DORA. Elle fournira des informations précieuses pour améliorer le processus de conformité réel lorsque la réglementation entrera en vigueur.

Lucanet participe activement au Dry run avec les Autorités Nationales Compétentes qui utilisent notre Portail XBRL. Ainsi, nous garantissons que nos solutions et nos clients seront prêts pour l’application prochaine de DORA. 

 

Comment réaliser un reporting conforme à DORA ?

Bien que les modalités exactes de reporting des données dans le cadre de DORA n’aient pas été clairement communiquées, l’ABE a déjà publié une extension de sa taxonomie XBRL dans le cadre de son dispositif de reporting 3.5. Il est probable que DORA soit la première application concrète de la nouvelle norme XBRL-CSV. Cette taxonomie est actuellement utilisée dans le test préliminaire de DORA.  

Les outils XBRL de Lucanet sont déjà certifiés pour XBRL-CSV. Notre portail XBRL est l’outil idéal pour créer des rapports XBRL conformes à DORA. Contactez-nous pour l’essayer dès maintenant.  

En conclusion, le règlement sur la résilience opérationnelle numérique (DORA) constitue un pas décisif pour renforcer le secteur financier de l’UE face aux menaces numériques. À l’approche de la date butoir, il est essentiel que toutes les entités concernées commencent à se préparer à ce changement réglementaire. Lucanet est là pour vous guider et vous accompagner dans votre démarche vers une conformité totale et une résilience opérationnelle. 

Découvrez notre portail XBRL

 

  • Image of Janis Steinmann

    Janis Steinmann

    Janis Steinmann est chef de produit pour le reporting, l'ESG et le XBRL chez AMANA consulting, qui fait partie du groupe Lucanet. Avec plus d'une décennie d'expérience, Janis a mené à bien des projets XBRL pour des banques, des assureurs, des régulateurs et des sociétés cotées en Europe, répondant à diverses exigences en matière de reporting. L'étroite collaboration de Janis avec les clients lui a permis d'acquérir une connaissance approfondie de la création et de la gestion des rapports XBRL. L'équipe est fière du moteur XBRL d'AMANA, l'un des premiers processeurs XBRL certifiés, qui alimente des outils tels que XBRL Tagger, XBRL Auditor, XBRL Portal, SmartNotes et d'autres outils tiers. Avant de rejoindre l'AMANA, Janis a travaillé dans le service de reporting interne d'une banque allemande. Il est membre du Best Practices Board de XBRL International et est titulaire d'une licence et d'une maîtrise en technologie de l'information commerciale et en informatique appliquée de l'université de Duisburg-Essen.