La loi DORA (Digital Operational Resilience Act) est un projet de loi visant à améliorer la cybersécurité et la résilience opérationnelle du secteur des services financiers. Elle complète les lois existantes telles que la directive sur les réseaux et la sécurité de l'information (NISD) et le règlement général sur la protection des données (GDPR). Bien que la loi DORA soit encore en cours d'élaboration, elle devrait être approuvée en 2022.
La loi sur la résilience opérationnelle numérique définit des seuils de criticité pour les services fournis aux institutions financières. Si une organisation est un fournisseur direct de services à une institution financière et que ses services atteignent ces seuils, l'entreprise est soumise à la loi DORA. Cela signifie que l'organisation sera directement supervisée par l'autorité de régulation financière compétente.
Pour les organisations dont les services n'atteignent pas les seuils DORA, le règlement s'applique toujours, mais la supervision directe n'est pas requise. Au lieu de cela, les clients de l'organisation devront exiger certaines conditions contractuelles pour se conformer aux exigences de la DORA.
Par exemple, la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act - DORA) exige des institutions financières qu'elles signalent les violations de données aux régulateurs dans un certain délai après leur découverte. Les institutions financières seront tenues d'imposer à leurs fournisseurs et prestataires de services les mêmes exigences en matière de notification des violations, dans le cadre de leurs obligations contractuelles. Si une organisation n'est pas disposée à accepter ces conditions, le DORA interdit à l'institution financière de faire des affaires avec elle.
La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act) dicte les conditions que les institutions financières exigeront de leurs fournisseurs et les contrôles de sécurité que ces derniers doivent mettre en place. Étant donné que le DORA vise à améliorer la résilience de l'ensemble du secteur financier, ces obligations et exigences sont susceptibles d'être répercutées sur l'ensemble de la chaîne d'approvisionnement.
L'objectif principal de DORA est de garantir la résilience opérationnelle du secteur financier. Dans ce cadre, les organisations couvertes par la loi sur la résilience opérationnelle numérique doivent mettre en œuvre des processus de gestion des risques qui aident à identifier la vulnérabilité potentielle à des cybermenaces plausibles et à mettre en place des politiques et des contrôles de sécurité pour se protéger contre ces risques.
Le DORA crée un cadre de règles que les institutions financières et leurs fournisseurs doivent respecter pour assurer leur résilience opérationnelle. Voici quelques-uns des principaux objectifs et exigences :
Les exigences exactes de la loi sur la résilience opérationnelle numérique ne sont pas connues car elle est encore à l'état de projet. Toutefois, le fait d'entamer dès aujourd'hui le processus visant à satisfaire à ces exigences simplifiera la mise en conformité une fois que la loi sera approuvée.
La loi DORA n'a pas encore été adoptée, mais elle devrait entrer en vigueur en 2022. Cela signifie que les organisations susceptibles d'être affectées par la loi DORA doivent commencer à travailler à la conformité dès aujourd'hui.
Pour se préparer à la loi sur la résilience opérationnelle numérique, l'une des mesures les plus importantes qu'une organisation puisse prendre est de simplifier et de rationaliser son architecture de sécurité. Le DORA exige une notification rapide des incidents de cybersécurité, une visibilité sur les dépendances d'une organisation vis-à-vis de tiers et la capacité de répondre aux demandes d'audit des régulateurs ou des clients.
Point de contrôle Harmony Suite offre une protection consolidée de l'ensemble de l'infrastructure informatique d'une organisation, y compris la prise en charge des postes, des mobiles, des nuages et des courriels. En simplifiant et en rationalisant l'infrastructure de sécurité d'une organisation, la suite Harmony facilite la protection contre les cybermenaces et le respect des exigences de déclaration de la DORA. Pour en savoir plus sur la façon dont les solutions de Point de contrôle peuvent vous aider à respecter la Conformité et d'autres réglementations, contactez-nous.