DORA et cybersécurité : exigences de sécurité TIC

02L'essentiel

Ce qu'il faut retenir

La sécurité TIC est une composante du pilier « gestion du risque lié aux TIC » de DORA, mais le règlement va plus loin : notification des incidents majeurs aux autorités, tests de résilience, et maîtrise du risque lié aux prestataires tiers. La cybersécurité s'y inscrit, elle ne s'y résume pas.

03En détail

Ce que le règlement implique ici

Confondre DORA avec « un texte de cybersécurité » conduit à sous-estimer sa portée. Le règlement (UE) 2022/2554 vise la résilience opérationnelle numérique : la capacité d'une entité financière à résister, réagir et se rétablir face à toute perturbation de ses systèmes TIC, pas seulement à se défendre contre des attaques.

La sécurité technique des systèmes relève du premier pilier, mais le dispositif comprend aussi la classification et la notification des incidents majeurs aux autorités, un programme de tests de résilience, et la maîtrise du risque lié aux prestataires tiers de services TIC.

Une équipe cybersécurité performante est un atout, mais elle ne suffit pas à elle seule à couvrir DORA : la gouvernance, le contractuel (clauses prestataires, registre d'information) et la démonstration de conformité au superviseur sont des volets distincts qui engagent l'ensemble de l'organisation.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit de conformité DORA pose le point de départ documenté de votre démarche.