Logo adesso insurance solutions
FR-CH
N

Que cherchez-vous?

Andreas Deckelmann | 23.11.2023

DORA – Règlement européen sur la résilience opérationnelle numérique du secteur financier

Le Digital Operational Resilience Act (DORA) est une évolution réglementaire importante visant à améliorer la stabilité opérationnelle des systèmes numériques dans le secteur financier de l’Union européenne (UE). DORA vise à renforcer la cybersécurité dans les services financiers en vue des cyber-risques croissants. Ce règlement est entré en vigueur le 16.1.2023. Avec le Digital Operational Resilience Act (DORA), l’UE veut rendre le secteur financier plus résistant aux perturbations informatiques, ainsi qu’à mieux se protéger des attaques cyber.

DORA viserait à harmoniser les réglementations européennes et nationales et à les rendre potentiellement obsolètes. C’est là que DORA intervient, en facilitant les opérations internationales des entités financières transfrontalières grâce à des règlementations comparables et à la reconnaissance des audits dans toute l’UE.

Exigences essentielles :

  • DORA harmonisera dans toute l’UE les exigences existantes en matière de gestion des risques liés aux technologies modernes.
  • Les fournisseurs tiers de services TIC seront à l’avenir contrôlés de manière analogue aux objets de surveillance actuels que sont les banques et les assurances.
  • Les fournisseurs de solutions HyperScale seront contrôlés de manière centralisée par les Autorités européennes de surveillance (AES) et les autorités de surveillance nationales et paieront pour les activités de surveillance.
  • DORA exigera plus d’expertise MINT dans les conseils d’administration et donc aussi dans les organes de surveillance
  • Les systèmes de gestion de la sécurité de l’information (ISMS) susceptibles d'être certifiés deviennent la meilleure pratique européenne dans le secteur financier
  • Augmentation de la charge administrative à l’avenir en raison de nouvelles obligations de rapport et de procédures d’approbation
  • Les entités financières déclarées critiques démontreront régulièrement leur stabilité opérationnelle numérique par des tests de pénétration axés sur les menaces selon TIBER EU (Threat Intelligence-based Ethical Red Teaming). L’audit informatique hybride s'établira comme standard pour les procédures d’audit manuelles et automatisées
  • Notification des incidents : Les compagnies d'assurances sont tenues de notifier immédiatement les incidents importants liés aux TIC aux autorités compétentes afin de permettre une réaction et une analyse coordonnées des risques systémiques potentiels.

DORA établira un cadre juridique européen pour la « stabilité opérationnelle des systèmes numériques du secteur financier ». DORA regroupe en principe les réglementations existantes sur les mesures de sécurité, le système de notification et les audits d’externalisation mais les élargit et les approfondit à certains endroits. Les fournisseurs tiers de services TIC (technologies de l’information et de la communication) seront inclus, donnant ainsi à l’organe de surveillance l'habilité à rendre des décisions obligatoires et les moyens nécessaires pour imposer des normes de stabilité financière par des possibilités d'objections comme des astreintes. En tant que nomenclature pour la sécurité de l’information, DORA aura un effet comparable à celui du RGPD depuis son entrée en vigueur en 2018, dans le domaine de la protection des données à caractère personnel dans les trois dimensions de l’organisation, de la réglementation et de l’informatique dans les entités financières. Alors que le RGPD s’applique à l’ensemble de l’économie et de l’administration mais ne s’adresse qu’à la protection des données à caractère personnel, DORA s’appliquera à toutes les entités financières et à tous les fournisseurs tiers de services TIC – y compris les entités administratives. Ce faisant, DORA vise à protéger toutes les informations, y compris les données à caractère personnel.

Outre le règlement DORA et la directive correspondante, le règlement DORA au niveau de l’UE comprend les actes législatifs ainsi que les lignes directrices, les normes techniques de réglementation (RTS) et les normes techniques d’exécution (ITS) qui doivent être élaborées par les Autorités européennes de surveillance compétentes. Parmi les pays membres de l’Espace économique européen, un grand nombre de pays, dont l’Allemagne, interprètent pourtant ces directives au niveau national.

DORA regroupe les exigences en matière de sécurité dans le secteur financier, élargit le cercle des objets de surveillance et pose des exigences nouvelles et plus rigoureuses dans certains domaines de sécurité.

Contenu de DORA

Alors que les trois chapitres « Exigences en matière de gestion des risques liés aux TIC », « Notification des incidents liés aux TIC » et « Contrôle de la stabilité opérationnelle numérique » s’adressent aux entités financières, le bloc d’articles « Contrôle des risques liés aux fournisseurs tiers de services TIC, » régit également les fournisseurs de technologie.
Les fournisseurs de services tels qu’adesso doivent notamment se pencher sur les exigences contractuelles étendues que DORA impose aux accords d’externalisation contractuels entre les compagnies d’assurances et les fournisseurs tiers de services TIC.

En outre, les fournisseurs tiers de services TIC doivent également être impliqués à l’avenir par des tests de pénétration réalisées selon une approche fondée sur les risques.

DORA : Mise en œuvre pour les compagnies d'assurances et les fournisseurs tiers de services TIC

 DORA contient de nombreuses directives qui sont en grande partie congruentes avec des régulations déjà connues telles que MaRisk/BAIT, MaGo/VAIT, KAMaRisk/KAIT, ZAIT, EBA-Guidelines on Outsourcing Arrangements et EBA-Guidelines on ICT and Security Risk Management. DORA contient toutefois aussi quelques divergences ou précisions et compléments par rapport à ces régulations. Dans l’ensemble, les exigences élargies entraînent un effort de mise en œuvre considérable dans le secteur financier.

L’ampleur individuelle dépend ici de la taille et des risques du modèle commercial ainsi que du degré de maturité de la résilience opérationnelle numérique de chaque compagnie d'assurances concernée.

Les compagnies d'assurances devraient donc utiliser le temps restant jusqu’à l’application du règlement DORA et se pencher suffisamment tôt, dans le sens d’une analyse des écarts, sur la mise en œuvre des exigences DORA et sur leur propre résilience opérationnelle numérique actuelle.

En outre, il est recommandé de s’orienter sur les exigences VAIT actuelles. Les résultats de la pratique d’audit VAIT en vigueur ainsi que le suivi des initiatives actuelles de l’ABE/BCE fournissent une orientation supplémentaire. Dans ce contexte, il est vivement recommandé d’ancrer et d'implémenter directement et efficacement les audits VAIT dans l’entreprise.

En ce qui concerne les tests d’intrusion requis, la pratique courante des exercices d’urgence pour la planification de la continuité des activités est recommandée. Dans ce contexte, un examen de la protection et de la sécurité des données est également nécessaire.

Il convient également de noter que, conformément au considérant 16, le règlement DORA constitue une Lex specialis par rapport à la directive (UE) 2022/2555 (directive NIS2), étant donné que DORA accroît également l’harmonisation au sein de l’UE en ce qui concerne les différentes composantes de la résilience numérique en introduisant des exigences en matière de gestion du risque lié aux TIC et de notification des incidents liés aux TIC, qui sont plus strictes que celles appliquées jusqu’à présent dans la législation sur les services financiers. 

Conclusion :

DORA sera obligatoirement appliqué dans tous les États membres de l’UE à partir de janvier 2025. Les compagnies d'assurances devraient se préparer de manière proactive à l’introduction de DORA :

  1. Effectuer une analyse des écarts : Évaluer la situation actuelle en termes de gouvernance, de gestion des risques et de conformité aux directives et normes existantes.
  2. Établir une feuille de route : Définir les priorités et l’effort nécessaire pour répondre aux exigences de DORA.
  3. Aligner gouvernance et pratique : S'assurer que les pratiques de gouvernance et commerciales sont conformes aux piliers de la résilience énoncés dans DORA.
  4. Surveiller la réglementation : Mettre à jour les nouvelles normes techniques de réglementation (RTS) et les normes techniques de mise en œuvre (ITS) qui pourraient être définies par les Autorités de surveillance pendant la période de mise en œuvre.

Parlons de la manière dont les logiciels d'assurance modernes aident à réaliser l'assurance innovatrice tout en contribuant au respect des exigences réglementaires. Notre expert Karsten Schmitt, Head of Business Development, attend votre message et vous conseillera avec plaisir.
Andreas Deckelmann

Andreas Deckelmann

Andreas Deckelmann est Compliance Manager chez adesso insurance solutions GmbH. Il dispose d’une longue expérience dans l’environnement des fournisseurs de services financiers et du secteur public, avec un accent particulier sur la mise en œuvre de cadres contractuels pour le domaine Security & Compliance. Il accompagne les audits (ISAE3402) et les contrôles des comptes annuels selon l’article 26 de la loi bancaire allemande (KWG) ainsi que les contrôles spéciaux effectués pour le compte de la BaFin (article 44 de la loi bancaire allemande) auprès des compagnies d’assurances.

L'user Experience moderne pour un paysage d'assurance innovateur

Assurance digitale

Les tendances qui marqueront le secteur de l'assurance en 2023

Assurance digitale

La protection du climat commence dans le centre de données

Assurance digitale

Assurance digitale

Vous êtes intéressé par les produits d'adesso insurance solutions

Vous trouverez ici un aperçu de toutes les solutions logicielles pour toutes les branches d'assurance - pour la gestion des portefeuilles, la gestion des prestations, le traitement des sinistres, la modélisation des produits ou pour la numérisation en général.

Vers la page produit
  • facebook logo
  • linkedin logo
  • xing logo
  • kununu logo

© 2024 adesso insurance solutions

adesso insurance solutions
}