DORA est un règlement européen (UE 2022/2554) visant à renforcer la résilience opérationnelle numérique des entités financières au sein de l'Union européenne. Entré en vigueur le 16 janvier 2023, il est devenu pleinement applicable le 17 janvier 2025.

Les objectifs principaux de DORA sont

• Le renforcement de la sécurité informatique : Les banques, organismes d’assurance, entreprises d’investissement, et autres institutions financières doivent être en mesure de résister à des perturbations opérationnelles critiques et de s’en remettre rapidement.

• L’harmonisation des normes au niveau européen : DORA fixe des exigences uniformes en matière de résilience numérique, s’appliquant aussi bien aux institutions financières qu’aux prestataires de services TIC (technologies de l’information et de la communication).

Les cinq piliers de DORA

DORA repose sur une structure claire, articulée autour de cinq piliers clés :

1.      Gestion des risques liés aux technologies de l’information et de la communication (TIC)

2.      Gestion et reporting des incidents liés aux TIC

3.      Tests de résilience opérationnelle numérique

4.      Gestion des risques liés aux prestataires de services TIC tiers

5.      Reporting des menaces

Quelles sont les exigences de reporting prévues par DORA

       I.          La déclaration des services informatiques externalisés (ROI)

Les entités ont l’obligation de fournir ponctuellement un Registre d’Informations (ROI) à jour sur demande. Le registre d’information est un registre complet des accords contractuels avec des fournisseurs de services TIC tiers, disponible au niveau de l’entité aux différents paliers de consolidation.

Ce registre d’informations permet :

• Aux organismes assujettis : de surveiller et gérer les risques associés aux prestataires de services TIC tiers,

• Aux autorités compétentes de l’UE : d’exercer leur rôle de supervision en matière de gestion des risques liés aux TIC, notamment l’ACPR pour les organismes d’assurance en France.

• À la désignation des prestataires tiers critiques de services TIC (CTPP) : qui seront soumis à une surveillance spécifique au niveau européen.

La première remise obligatoire de ce registre d’informations doit être effectuée avant le 15 avril 2025, via le portail ONEGATE de la Banque de France (sous la supervision de l’ACPR)

Cette remise concernera les organismes d’assurance déjà soumis la réglementation Solvabilité 2 qu’ils appartiennent à un groupe ou non.

Exigences liées au registre d’information

Le registre d’information imposé par DORA repose sur des gabarits détaillés dans les annexes I à IV du règlement d’exécution (UE) 2024/2956 (lien EUR-Lex). Au sein de ces maquettes il est prévu de documenter précisément les services TIC externalisés auprès de sous-traitants.

Contenu et structure du registre

Le registre doit inclure des informations complètes sur :

·        Les entités et leurs succursales (B_01.01 à B_01.03),

·        Les dispositions et accords contractuels (B_02.01 à B_02.03),

·        Les relations intra-groupe et avec les prestataires tiers (B_03.01 à B_03.03),

·        Les utilisateurs des services TIC (B_04.01),

·        Les prestataires et leurs chaînes d’approvisionnement (B_05.01 et B_05.02),

·        L’identification des fonctions critiques (B_06.01),

·        L’évaluation des services TIC (B_07.01),

·        La terminologie utilisée (B_99.01).

En complément, les entités peuvent inclure des informations supplémentaires pour faciliter la gestion des risques et des contrats, dans le format qu’elles jugent approprié.

Format et harmonisation des données

·        Les registres doivent être soumis sous forme de tableaux structurés, avec un nombre prédéfini de colonnes et un nombre illimité de lignes. Chaque donnée doit être exprimée sous forme d’une seule valeur par cellule. En cas de données multiples, des lignes supplémentaires sont ajoutées.

·        Les groupes financiers doivent garantir l’harmonisation des données entre les niveaux d’entité, sous-consolidé et consolidé.

·        Chaque prestataire (y compris ses sous-traitants critiques) doit être identifié via un LEI (Legal Entity Identifier) ou un EUID (European Unique Identifier).

Transmission et validation des registres

Les règles de validation, appliquées par l’EBA (Autorité Bancaire Européenne), s’appuient sur une taxonomie spécifique au nouveau règlement DORA.

De plus, le fichier ROI à transmettre avant le 15 avril 2025, via le portail ONEGATE doit être au format « plain-csv XBRL ».

La nouvelle taxonomie et le nouveau format permettront à l’ACPR d’obtenir des remises de qualité, homogènes et valides techniquement.

     II.          Les autres reportings DORA IR et CT à transmettre en cas d’incident ou de cybermenace

Les incidents majeurs liés aux TIC doivent être signalés à l’ACPR via le reporting IR (Incident Report), pour une transmission ultérieure aux Autorités Européennes de Supervision (AES) et à la BCE.

Selon le règlement délégué (UE) 2024/1772, un incident est classé comme majeur en fonction de plusieurs critères, notamment l’impact sur des services critiques, les atteintes à la confidentialité des données et les perturbations affectant un grand nombre de clients.

Le calendrier de notification est strict. En effet, une notification initiale doit être envoyée dans les 4 heures suivant la classification de l’incident. Puis un rapport intermédiaire doit être transmis dans les 72 heures. Enfin un rapport final doit être soumis dans un délai d’un mois après le dernier rapport intermédiaire.

Les incidents sont considérés comme résolus une fois que les services affectés sont entièrement rétablis, sans inclure les étapes d'analyse ou de mesures correctrices.

Les incidents liés aux paiements, auparavant régis par DSP2, relèvent désormais du cadre DORA et devra s’effectuer dans les mêmes conditions.

Le reporting des cybermenaces importantes (CT), a également été prévu par DORA dans le but de donner au superviseur une vision claire des menaces, de croiser les informations avec d'autres incidents majeurs signalés.

Quelles sont les actions à entreprendre à court terme ?

·        Formaliser un plan de conformité DORA s’appuyant sur une analyse d’écart (Gap analysis)

·        Anticiper la préparation du RSR et les nouveaux éléments DORA à intégrer

·        Préparer le reporting ROI à transmettre via Onegate au format xbrl plain-csv d’ici le 15/04/2025

·        Vérifier la capacité de l’organisme à gérer cette nouvelle taxonomie et ce nouveau format de remise

Dans ce contexte, et pour répondre pragmatiquement à ces enjeux court terme, Actuelia propose différents modes d’accompagnement, de l’analyse et documentation DORA à la fourniture de licence xbrl (spécial DORA) pour réussir cette première remise. Nous sommes à votre disposition pour échanger à ce sujet.