DORA et NIS2 : renforcer la résilience numérique dans l’Union européenne

DORA : renforcer la résilience numérique dans le secteur financier au sein de l’Union européenne

Qu’est-ce que DORA ?

Le Digital Operational Resilience Act de l’UE (règlement (UE) 2022/2554, DORA) influencera largement la manière dont les entités financières améliorent la gouvernance des TIC, gèrent les risques TIC, déclarent les incidents et renforcent leur résilience. Le secteur financier dépend de plus en plus des services numériques et des technologies pour fournir ses services. Cette transformation numérique a rendu les entités financières plus vulnérables aux cyberattaques et aux incidents.

DORA est un règlement européen introduit par la Commission européenne en septembre 2020. Le règlement est entré en vigueur le 16 janvier 2023 et est devenu applicable le 17 janvier 2025. DORA fait partie de la stratégie numérique de l’UE, qui vise à renforcer la résilience opérationnelle numérique des entités financières opérant en Europe et de leurs prestataires tiers TIC, en établissant un ensemble commun de règles et de normes afin d’atténuer les risques liés aux technologies de l’information et de la communication (TIC).

Les entités financières et les services TIC qui soutiennent les entités financières constituent un élément vital des infrastructures critiques de l’Union européenne. Lorsqu’ils ne sont pas correctement gérés, les risques TIC peuvent provoquer des perturbations transfrontalières et intersectorielles, ayant un impact sur l’économie dans son ensemble. Ils représentent également une opportunité de partage de renseignements relatifs aux menaces et aux vulnérabilités.

Harmonisation pour le secteur financier à l’échelle européenne

Avant l’introduction de DORA, le secteur des services financiers dans l’Union européenne fonctionnait sans cadre commun en matière de TIC et de cybersécurité. Le paysage réglementaire se caractérisait par un ensemble complexe et fragmenté de normes européennes et nationales qui n’étaient pas harmonisées. En outre, les institutions financières devaient composer avec les exigences de protection des données imposées par le Règlement général sur la protection des données (RGPD), parallèlement aux obligations de protection des infrastructures critiques prévues par la directive sur la sécurité des réseaux et des systèmes d’information (NIS). En l’absence de règlementation européenne, chaque État membre était responsable de la mise en œuvre et de l’application de ses propres lois pour traiter ces enjeux complexes de gestion des risques.

Qu’est-ce qu’un règlement dans l’Union européenne ?

Avant d’entrer dans le détail du Digital Operational Resilience Act, il est important de comprendre ce que signifie le terme « règlement » lorsqu’il est utilisé dans le contexte des politiques de l’Union européenne et des autres types d’actes législatifs européens.

En dehors de l’Union européenne, leur signification varie d’un pays à l’autre. Dans l’Union européenne, il existe cinq types d’actes législatifs ou juridiques qui permettent aux traités de l’UE d’atteindre leurs objectifs. Il s’agit des règlements, des directives, des décisions, des recommandations et des avis.

Règlement : acte législatif contraignant qui doit être appliqué directement et intégralement dans tous les États membres.

Directive : acte législatif qui fixe des objectifs devant être atteints, mais dont les modalités de mise en œuvre sont laissées à chaque État membre de l’UE. La directive NIS2 est entrée en vigueur en 2023 et chaque État membre doit la transposer dans son droit national.

Décision : acte contraignant uniquement pour ceux auxquels il est adressé et directement applicable. Par exemple, lorsqu’un Conseil adopte une décision concernant l’adoption de l’euro par un État membre, celle-ci ne concerne qu’un pays spécifique.

Recommandation : texte non contraignant émis par une institution de l’UE afin d’exprimer son point de vue sur un sujet et de suggérer des actions à entreprendre, sans implication juridique ni obligation pour les destinataires de la recommandation.

Avis : texte non contraignant émis par une institution de l’UE afin d’exprimer son point de vue sur un sujet.

Quel est le champ d’application de DORA ?

‍
DORA s’applique à toutes les institutions financières de l’Union européenne, ce qui inclut les entités financières traditionnelles, telles que les banques, les entreprises d’investissement et les établissements de crédit, ainsi que des entités non traditionnelles, telles que les prestataires de services sur crypto-actifs. L’article 2, paragraphe 1, de DORA établit la liste exhaustive des entités couvertes pour le secteur financier de l’UE, avec des exceptions précisées à l’article 2, paragraphe 3. En outre, les prestataires de services tiers TIC ne sont pas tenus d’être établis en Europe pour relever du règlement. Tout tiers fournissant des services à une entreprise européenne est concerné. Les dispositions spécifiques applicables aux entités financières et aux prestataires de services tiers seront abordées dans un autre article.

Les cinq piliers clés de DORA

Le texte du règlement définit cinq piliers couvrant différents domaines et aspects des risques TIC et des risques cyber qui doivent être pris en compte par les entités financières afin d’assurer la conformité.

Gestion des risques TIC

Les entités financières doivent disposer de cadres de gouvernance et de mesures de sécurité robustes pour une gestion efficace des risques TIC. Cela inclut, sans s’y limiter, la préparation face aux risques TIC, le maintien de systèmes à jour et la mise en œuvre de stratégies de résilience opérationnelle numérique.

Gestion, classification et notification des incidents liés aux TIC

Les entités financières doivent établir un processus permettant d’identifier et de gérer les incidents liés aux TIC, les incidents majeurs devant être notifiés à l’autorité compétente.

Tests de résilience opérationnelle numérique

Des tests réguliers des systèmes et outils TIC doivent être réalisés afin d’identifier et de corriger les faiblesses ou lacunes en matière de résilience opérationnelle numérique. Cela inclut les tests d’intrusion réalisés par des tiers ainsi que les tests d’intrusion pilotés par les menaces.

Gestion des risques liés aux prestataires tiers TIC

Ce pilier est axé sur la gestion rigoureuse des risques associés aux prestataires de services tiers TIC, y compris la diligence raisonnable, les dispositions contractuelles et le risque de concentration TIC.

Partage d’informations

Le partage d’informations avec les autorités et entre les entités financières contribue à la résilience opérationnelle numérique, en particulier dans le contexte des menaces et des vulnérabilités cyber.

Les autorités européennes de surveillance et DORA

‍
Les autorités européennes de surveillance (AES) œuvrent principalement à l’harmonisation de la supervision financière dans l’Union européenne au moyen d’un ensemble de normes prudentielles applicables aux institutions financières. Les AES contribuent à garantir la conformité et à « créer des conditions de concurrence équitables ». Elles sont également chargées d’évaluer les risques et les vulnérabilités du secteur financier. Les AES sont :

• l’Autorité bancaire européenne (ABE)
• l’Autorité européenne des assurances et des pensions professionnelles (AEAPP)
• l’Autorité européenne des marchés financiers (AEMF)

Afin d’opérationnaliser l’application de DORA, les AES, par l’intermédiaire du comité mixte et en consultation avec la Banque centrale européenne (BCE) et l’Agence de l’Union européenne pour la cybersécurité (ENISA), sont chargées d’élaborer 13 instruments de politique réglementaire en deux vagues. Ces instruments comprennent des normes techniques de réglementation (RTS), des normes techniques d’exécution (ITS) et des lignes directrices (GL). Ces instruments de politique sont nécessaires pour fournir des spécifications techniques détaillées permettant la mise en œuvre de la législation.

La première vague d’instruments de politique réglementaire comprend :

• des RTS sur le cadre de gestion des risques TIC et des RTS sur le cadre simplifié de gestion des risques TIC
• des RTS sur les critères de classification des incidents liés aux TIC
• des ITS établissant les modèles pour le registre d’informations
• des RTS précisant la politique relative aux services TIC fournis par des prestataires tiers TIC

La seconde vague comprend :

• des RTS et des ITS relatifs au contenu, aux délais et aux modèles de notification des incidents
• des lignes directrices (GL) sur les coûts et pertes agrégés résultant des incidents majeurs
• des RTS sur la sous-traitance des fonctions critiques ou importantes
• des RTS sur l’harmonisation de la supervision
• des lignes directrices (GL) sur la coopération en matière de supervision entre les AES et les autorités compétentes
• des RTS sur les tests d’intrusion pilotés par les menaces (TLPT)

Défis liés à la conformité à DORA

Les principaux défis pour atteindre la conformité à DORA s’alignent sur les cinq piliers du règlement. Les organisations concernées par le règlement doivent se concentrer sur la mise en œuvre de politiques et de procédures fondées sur les risques afin d’identifier, mesurer, surveiller, déclarer et atténuer les risques TIC et les risques cyber. En outre, un élément essentiel de la résilience opérationnelle numérique globale réside dans l’évaluation régulière des capacités TIC et cyber, ainsi que du niveau de sécurité, en cas d’incident lié aux TIC ou de cyberattaque.

NIS2 : renforcer la cybersécurité dans les secteurs critiques et importants

Qu’est-ce que NIS2 ?

La directive NIS2 (directive (UE) 2022/2555) constitue le cadre actualisé de l’Union européenne en matière de cybersécurité et de gestion des risques dans les secteurs critiques et importants de l’économie. Elle vise à améliorer le niveau global de cybersécurité dans l’UE en corrigeant les faiblesses identifiées dans le cadre de la directive NIS initiale et en répondant à l’ampleur croissante, à la sophistication et à l’impact systémique des menaces cyber.

NIS2 est entrée en vigueur le 16 janvier 2023. En tant que directive, elle fixe des objectifs contraignants au niveau de l’UE mais doit être transposée dans le droit national par chaque État membre. La date limite de transposition était le 17 octobre 2024. Toutefois, à la date de rédaction de cet article, 17 des 27 États membres de l’UE ont transposé la directive NIS2 dans leur législation nationale.

Bien que la directive soit en vigueur, sa mise en œuvre et son application dépendent des législations nationales, ce qui signifie que les exigences et les approches de supervision peuvent varier d’un pays à l’autre pendant la phase de transposition.

À l’instar de DORA, NIS2 reflète la reconnaissance par l’UE que les risques numériques et les risques cyber ne peuvent plus être gérés de manière isolée.

Quel est le champ d’application de NIS2 ?

La directive NIS2 s’applique aux organisations de taille moyenne et grande opérant dans des secteurs considérés comme critiques pour le fonctionnement de l’économie et de la société au sein de l’Union européenne. Son champ d’application est nettement plus large que celui de la directive NIS initiale et repose sur le secteur d’activité et la taille de l’entreprise.

La directive NIS2 distingue deux catégories d’organisations entrant dans son champ d’application :

• les entités essentielles, qui opèrent dans des secteurs dont la perturbation pourrait avoir de graves conséquences sociétales ou économiques
• les entités importantes, qui opèrent dans d’autres secteurs critiques mais sont soumises à des régimes de supervision allégés

Cette classification détermine les modalités de supervision et d’application des règles, mais les deux catégories doivent se conformer aux mêmes obligations fondamentales en matière de gestion des risques de cybersécurité et de notification des incidents.

Les secteurs couverts comprennent notamment :

• l’énergie, les transports, le secteur bancaire et les infrastructures des marchés financiers
• la santé, l’eau potable et les eaux usées
• les infrastructures numériques, y compris les fournisseurs de services cloud, les centres de données, les réseaux de diffusion de contenu, les prestataires de services managés et les prestataires de services de sécurité managés
• l’administration publique aux niveaux central et régional
• l’espace, les services postaux et de messagerie
• la fabrication de produits critiques (tels que les produits pharmaceutiques, les dispositifs médicaux et certains biens industriels)

De manière générale, NIS2 s’applique aux organisations comptant 50 employés ou plus, ou dont le chiffre d’affaires annuel dépasse 10 millions d’euros, bien que certaines entités soient incluses indépendamment de leur taille en raison de leur importance systémique.

Plus important encore, le champ d’application de NIS2 s’étend au-delà de l’entité directement réglementée. NIS2 inclut un écosystème beaucoup plus large de fournisseurs tiers, de prestataires et de fournisseurs de services numériques qui soutiennent des activités critiques à travers l’Europe.

Domaines clés couverts par la directive NIS2 ‍‍

Plusieurs domaines d’action doivent être pris en compte par les organisations de taille moyenne et grande afin de renforcer leur cybersécurité et leur résilience opérationnelle. Ces domaines d’action s’alignent étroitement sur les principes qui sous-tendent DORA et reflètent l’approche plus large de l’Union européenne, fondée sur les risques, en matière de résilience numérique.

Gouvernance et responsabilité ‍

NIS2 confie des responsabilités de supervision aux dirigeants. Les organes de direction sont responsables de l’approbation des mesures de gestion des risques de cybersécurité, du suivi de leur mise en œuvre et de la garantie de l’existence de politiques, de mesures de sécurité et de formations appropriées.

Gestion et notification des incidents

Les entités doivent être en mesure de détecter, d’évaluer et de répondre aux incidents cyber, ainsi que de notifier les incidents significatifs aux autorités nationales dans des délais définis. NIS2 introduit un cadre de notification plus structuré, incluant des alertes précoces, des notifications d’incident et des rapports finaux, renforçant ainsi la nécessité de circuits d’escalade clairs et de processus de notification reproductibles.

Gestion des risques liés aux tiers et à la chaîne d’approvisionnement

Les organisations doivent traiter les risques de cybersécurité provenant des fournisseurs et des prestataires de services, en particulier lorsque les dépendances à des tiers affectent la fourniture de services critiques. Cela étend de facto les exigences en matière de cybersécurité à l’ensemble de la chaîne d’approvisionnement.

Continuité d’activité et gestion de crise

NIS2 impose aux entités d’assurer la continuité des services critiques au moyen de mesures telles que la gestion des sauvegardes, la reprise après sinistre, la planification de la réponse aux crises et la restauration rapide des systèmes à la suite d’un incident.

Piloter la conformité à NIS2 au sein des États membres de l’UE

Une différence clé entre NIS2 et DORA réside dans leurs modalités de mise en œuvre et d’application au sein de l’Union européenne. DORA est un règlement de l’UE, ce qui signifie qu’il s’applique directement et uniformément dans tous les États membres, sans nécessité de législation nationale de transposition. Une fois applicable, ses exigences sont identiques dans toute l’UE, créant ainsi un cadre harmonisé pour le secteur financier.

NIS2, en revanche, est une directive. Bien qu’elle soit entrée en vigueur en janvier 2023, chaque État membre est responsable de la transposition de ses exigences dans son droit national. Ce processus impose à chaque pays de définir ses autorités de supervision, ses mécanismes d’application et certains éléments procéduraux au niveau national. En conséquence, l’application pratique de NIS2 peut varier d’un État membre à l’autre.

Aller au-delà de la conformité à NIS2 et DORA

La conformité à NIS2 et à DORA exige des organisations qu’elles mettent en œuvre des capacités complètes de cybersécurité et de résilience opérationnelle couvrant la technologie, les processus, la gouvernance et les personnes. Pour de nombreuses organisations, cela représente une mobilisation significative de ressources ainsi qu’un changement profond dans la manière dont les risques cyber et TIC sont gérés à l’échelle de l’entreprise.

Quel rôle joue la gouvernance dans la conformité ?

La gouvernance constitue un élément central de la conformité à la fois à NIS2 et à DORA. Le respect des exigences relatives à l’évaluation des risques, à la notification des incidents, à la continuité d’activité et à la supervision des tiers repose sur une responsabilité clairement définie, des structures de décision établies et des processus coordonnés au sein de l’organisation. Ces obligations ne peuvent pas être satisfaites par la seule technologie et doivent s’inscrire durablement dans les opérations quotidiennes.

Comment les organisations démontrent-elles leur résilience au titre de DORA et de NIS2 ?

DORA et NIS2 encouragent toutes deux l’échange d’informations et de renseignements relatifs aux menaces, aux tactiques ou aux autres méthodes utilisées par les cybercriminels pour porter atteinte aux organisations. Les régulateurs attendent des organisations qu’elles apportent des preuves objectives et reproductibles démontrant que les risques cyber et TIC sont identifiés, priorisés et traités de manière à protéger les services critiques et les consommateurs.

La résilience opérationnelle au titre de NIS2 et de DORA comprend :

• la responsabilité des dirigeants en matière de décisions liées à la cybersécurité et à la résilience opérationnelle
• le partage d’informations et de renseignements avec les pairs et les régulateurs concernant les menaces cyber, les techniques et les procédures
• des processus documentés pour l’évaluation des risques, la réponse aux incidents et la planification de la continuité d’activité
• la supervision des tiers et des chaînes d’approvisionnement, y compris les prestataires de services TIC et les fournisseurs critiques
• une priorisation fondée sur les risques, garantissant que les ressources et les mesures de sécurité sont alignées sur la criticité des services et leur impact potentiel

Gestion des risques fondée sur les données à l’aide de l’analyse quantitative

Construire un programme fondé sur les risques à partir d’exigences réglementaires proportionnées

NIS2 et DORA sont toutes deux conçues selon un principe de proportionnalité. Bien qu’elles définissent des attentes claires en matière de gouvernance, de gestion des risques, de gestion des incidents et de résilience, la profondeur et l’intensité de la supervision varient en fonction de facteurs tels que la taille de l’organisation, le secteur d’activité, la criticité des services et le profil de risque.

Cette proportionnalité ne réduit pas le besoin de structure ou de discipline. Au contraire, elle renforce l’importance d’une approche fondée sur les risques, permettant aux organisations d’allouer les ressources en fonction de l’exposition réelle et de l’impact potentiel. Un programme fondé sur les risques permet aux organisations — quelle que soit leur taille — de démontrer que les efforts de conformité sont alignés sur ce qui compte réellement, plutôt que d’être appliqués de manière uniforme à l’ensemble des risques et des mesures de sécurité.

Utiliser les données et la quantification pour démontrer la résilience

Dans le cadre de DORA comme de NIS2, la résilience doit être démontrée par des éléments probants. Les organisations sont tenues de montrer que les risques sont compris, que les décisions sont justifiées et que les services critiques peuvent être maintenus ou rétablis dans des délais acceptables.

La gestion des risques fondée sur les données et la quantification des risques cyber rendent cela possible en traduisant les risques techniques en résultats mesurables, y compris en impact financier. L’analyse quantitative favorise des décisions de gouvernance plus claires, une notification des incidents plus précise et une priorisation des risques et des mesures de sécurité fondée sur les risques, y compris pour les relations avec les tiers. Lorsque les risques sont mesurés de manière cohérente dans le temps, la résilience devient observable et vérifiable.