A la suite de l’entrée en vigueur de la loi DORA (Digital Operational Resilience Act) le 17 janvier dernier, voici quelques analyses de Madelein van der Hout, analyste senior chez Forrester.
Sur la nécessité de DORA :
« De la banque en ligne aux paiements mobiles, presque tous les aspects de notre vie financière reposent sur des systèmes numériques. Cette dépendance a apporté un confort incroyable, mais elle signifie aussi que toute perturbation, qu’elle soit due à des cyberattaques, à des pannes de système ou à des incidents opérationnels, peut avoir de graves conséquences.
« Le DORA fournit le cadre nécessaire pour garantir que les entités financières disposent de mesures robustes pour résister et se remettre des perturbations. En s’attaquant aux vulnérabilités de cet écosystème hautement numérisé, DORA protège non seulement les institutions financières, mais aussi la stabilité et le bien-être de la société européenne dans son ensemble. »
Concernant l’état de préparation des institutions financières à DORA :
« Les institutions financières se trouvent à des stades différents de préparation à DORA à l’approche de la date limite de mise en conformité. Bien que de nombreuses organisations aient progressé dans l’adaptation aux exigences de la loi, DORA représente un changement significatif dans la façon dont la résilience opérationnelle numérique est gérée. Elle exige un examen complet du paysage des TIC, une amélioration des processus de gestion des incidents, une mise à jour des politiques et procédures internes et la garantie que tous les accords contractuels avec des tiers respectent les normes de la loi DORA.
“La conformité à la loi DORA n’est pas négociable et les régulateurs attendent des progrès tangibles. Certaines institutions ont pris de l’avance, tirant parti de leurs cadres de cybersécurité et de gestion des risques déjà solides pour s’aligner sur le DORA. D’autres sont encore en train de combler les lacunes et d’intensifier leurs efforts. Les institutions financières doivent agir de toute urgence pour répondre aux attentes fixées par la loi DORA et, en fin de compte, pour protéger les clients et les communautés qu’elles servent.”
Conséquences de la non-conformité à la loi DORA :
« Les organisations qui ne se conforment pas à la loi DORA risquent d’être confrontées à une série de conséquences importantes et de grande portée. Les organisations non conformes peuvent se voir infliger des amendes allant jusqu’à 2 % de leur chiffre d’affaires annuel mondial ou 10 millions d’euros, le montant le plus élevé étant retenu. Les fournisseurs de TIC tiers essentiels peuvent se voir infliger des amendes allant jusqu’à 5 millions d’euros. Les organisations peuvent également se voir infliger une amende équivalant à 1 % de leur chiffre d’affaires journalier global pour chaque jour de non-conformité.
« En outre, les autorités réglementaires peuvent limiter ou suspendre les activités commerciales des organisations non conformes jusqu’à ce qu’elles se mettent en conformité totale. Dans les cas les plus graves, la non-conformité peut entraîner une suspension temporaire des opérations, ce qui revient à interrompre l’activité.
« Il faut également tenir compte des atteintes à la réputation. Les violations de la loi DORA peuvent éroder la confiance des clients et des investisseurs, entraînant des conséquences financières à long terme qui vont au-delà des amendes. La conformité ne consiste pas seulement à éviter les amendes, c’est un investissement dans la résilience opérationnelle et la confiance à long terme.”
L’impact du DORA en dehors de l’UE :
« Bien qu’il s’agisse d’un règlement européen, le DORA aura un impact significatif sur les entreprises situées en dehors de l’UE, en particulier en Amérique du Nord et dans la région Asie-Pacifique (APAC).
« Le règlement influencera les institutions financières opérant dans l’UE ou ayant des liens avec elle, en les obligeant à intégrer la conformité au DORA à leurs exigences réglementaires locales. DORA établit également une référence mondiale pour la résilience opérationnelle dans les services financiers. Les entreprises d’Amérique du Nord et d’Asie-Pacifique aligneront probablement leurs pratiques sur le DORA pour rester compétitives, garantir l’interopérabilité avec les clients de l’UE et renforcer leur résilience opérationnelle.”
