Règlement DORA (Digital Operational Resilience Act)

Le règlement DORA (Digital Operational Resilience Act), qui est entré en vigueur le 17 janvier 2025, vise à renforcer la résilience opérationnelle numérique des entités financières au sein de l’Union européenne. Bien que DORA ne traite pas spécifiquement des abus de marché, il impose aux entreprises financières de nouvelles obligations en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC), ce qui peut indirectement contribuer à prévenir de tels abus.

Les principales obligations introduites par DORA pour les entreprises financières sont les suivantes :

1. Mise en place d’un cadre de gestion des risques liés aux TIC :

Les entreprises doivent établir des processus et des procédures pour évaluer et gérer les risques liés aux TIC, incluant l’analyse des menaces, la définition de tolérances aux impacts et l’élaboration d’un cadre d’appétence pour le risque. Cela comprend également la mise en œuvre de mesures techniques et organisationnelles pour la protection et la prévention des risques TIC et cyber, ainsi que la surveillance proactive et la détection précoce des anomalies.

2. Gestion et notification des incidents liés aux TIC :

Les entités financières sont tenues de surveiller, gérer et enregistrer les incidents liés aux TIC. Elles doivent également les classer selon leur gravité et les signaler aux autorités compétentes en fonction de leur importance. Cette transparence vise à renforcer la confiance du marché.

3. Tests de résilience opérationnelle numérique :

Les entreprises doivent effectuer des tests réguliers pour évaluer leur résilience numérique. Cela inclut des tests de base pour toutes les entités financières et des tests avancés, tels que des tests d’intrusion, pour les entités financières significatives. Un programme global de tests de résilience opérationnelle numérique doit être défini, englobant les aspects de cybersécurité et s’alignant sur le cadre TIBER-EU.

4. Gestion des risques liés aux prestataires tiers de services TIC :

Les entreprises doivent revoir les contrats avec leurs prestataires de services TIC pour y inclure des clauses minimales uniformes. Elles doivent également adopter une stratégie de surveillance et de gestion des risques liés à ces prestataires et maintenir à jour un registre contenant les informations sur tous les accords passés avec eux.

5. Partage d’informations en matière de cybersécurité :

DORA encourage le partage volontaire d’informations opérationnelles relatives aux menaces cyber et aux vulnérabilités entre les acteurs du secteur financier, afin de renforcer la résilience collective.

En renforçant la résilience opérationnelle numérique, DORA contribue à la stabilité du système financier, ce qui peut indirectement aider à prévenir les abus de marché en assurant la continuité et la fiabilité des opérations financières.