in ,

La conformité DORA pourrait faire chavirer votre entreprise financière en 2025

La législation européenne DORA renforce la cyberrésilience des entreprises financières. Ce texte exige des règles strictes pour limiter les risques technologiques et sanctionne sévèrement la non-conformité.

DORA, le Digital Operational Resilience Act, bouleverse le secteur financier depuis son entrée en vigueur le 17 janvier 2025. Cette loi adoptée par l’Union européenne impose des exigences strictes aux entreprises financières pour renforcer la sécurité de leurs systèmes informatiques. Malgré une période de transition de deux ans, de nombreux acteurs peinent encore à se conformer.

Les défis de la conformité DORA

Les institutions financières, des banques aux assurances en passant par les prestataires informatiques tiers, doivent respecter les exigences de DORA. Parmi les mesures clés figurent la gestion des risques TIC, les tests de résilience et le partage d’informations sur les incidents majeurs. Ces obligations visent à protéger les services critiques, indispensables à la stabilité économique mondiale.

Des sanctions strictes

Madelein van der Hout, analyste senior chez Forester, rappelle que « la conformité avec DORA n’est pas négociable ». Les entreprises non conformes s’exposent à des amendes pouvant atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial, selon le montant le plus élevé. Les organisations tierces risquent également des sanctions additionnelles en cas de non-respect prolongé.

Les conséquences vont au-delà des sanctions financières. Les autorités européennes peuvent suspendre temporairement les activités des entités concernées ou imposer des restrictions économiques majeures. Les dirigeants, eux, encourent des amendes individuelles dépassant parfois un million d’euros.

Vous aimerez aussi cet article:

Une préparation inégale parmi les entreprises

Environ 43 % des entreprises financières britanniques ne respectent pas encore les exigences de DORA. Le manque d’alignement dans la gestion des contrats avec les fournisseurs constitue un frein majeur.

Pour beaucoup, regrouper les informations dans un registre conforme reste complexe. Simon Treacy, avocat chez Linklaters, prévoit que de nombreuses entreprises devront prolonger leurs efforts au-delà de la date butoir. Les priorités incluent les tests d’intrusion basés sur les menaces et la mise à jour des contrats.

Les contraintes de DORA sur les signalements

DORA impose des exigences strictes en matière de déclaration d’incidents. Un incident « majeur » doit être signalé dans un délai de quatre heures, suivi d’un rapport détaillé dans les 72 heures. Cette lourdeur administrative suscite des critiques, notamment de la part des organisations multinationales soumises à des régulations variées.

Le coût de la conformité représente un autre obstacle. Certaines entreprises ont investi plus d’un million d’euros pour répondre aux exigences de DORA. Les petites structures, aux ressources limitées, subissent particulièrement cette pression.

Vous aimerez aussi cet article:

Une harmonisation des règles européennes nécessaire

L’application de DORA se heurte à des défis persistants. Sa coexistence avec d’autres réglementations européennes, comme NIS2 ou le RGPD, entraîne une fragmentation réglementaire préjudiciable. Les entreprises doivent se conformer à des directives variées avec des calendriers divergents, augmentant ainsi les coûts et la complexité des processus.

Malgré ces obstacles, des institutions majeures comme JPMorgan adoptent une approche proactive. Leur stratégie : renforcer la sécurité des tiers et améliorer les systèmes de réponse aux incidents. Cette démarche illustre l’importance d’une résilience opérationnelle accrue face aux menaces croissantes.