DORA (Acte sur la résilience opérationnelle numérique de l'UE) : ce que c’est et comment cela affecte les utilisateurs de CoinW
DORA (Acte sur la résilience opérationnelle numérique de l'UE) : ce que c’est et comment cela affecte les utilisateurs de CoinW
En résumé : DORA — Règlement (UE) 2022/2554 — s’applique dans toute l’Union européenne depuis le 17 janvier 2025. Il oblige les entités financières (y compris les prestataires de services sur crypto-actifs (CASP) autorisés par MiCA) à mettre en œuvre une gestion rigoureuse des risques TIC, à effectuer des tests de résilience, à signaler les incidents majeurs et à superviser leurs fournisseurs technologiques critiques. Pour les utilisateurs de CoinW, cela signifie une sécurité renforcée, une meilleure transparence et une continuité de service accrue.
1) Qu’est-ce que DORA ?
L’Acte sur la résilience opérationnelle numérique (DORA) établit un cadre commun dans l’UE pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier : prévenir les incidents, résister aux perturbations et se rétablir rapidement. Il harmonise les pratiques de gestion des risques, de tests et de supervision des prestataires TIC.
Référence juridique : Règlement (UE) 2022/2554 (DORA). Voir aussi : Page DORA d’EIOPA.
2) Dates clés et champ d’application
| Date | Événement |
|---|---|
| 14 décembre 2022 | Adoption de DORA par le Parlement et le Conseil de l’UE. |
| 27 décembre 2022 | Publication au Journal officiel de l’Union européenne (JOUE L 333). |
| 17 janvier 2025 | Entrée en application du règlement dans toute l’UE. |
Organismes concernés
- Banques, compagnies d’assurance, sociétés d’investissement, plateformes de négociation, prestataires de paiement et institutions de monnaie électronique.
- Prestataires de services sur crypto-actifs (CASP) autorisés par MiCA et émetteurs de jetons référencés à un actif (ART).
- Fournisseurs tiers critiques de TIC sous supervision européenne.
Définition clé
Les « TIC » englobent les technologies, infrastructures et services (logiciels, réseaux, cloud, sécurité) utilisés pour fournir des services financiers.
3) Exigences principales du DORA
Gestion des risques TIC
- Responsabilité au niveau de la direction et structure claire de gouvernance.
- Contrôles : inventaire des actifs, correctifs, configurations sécurisées, sauvegardes et plans de reprise.
- Plan de continuité et de reprise après sinistre (BCP/DRP).
Signalement des incidents
- Classification et notification aux autorités des incidents majeurs.
- Analyse post-incident pour éviter les récurrences.
Tests de résilience
- Évaluations périodiques, gestion des vulnérabilités et tests de pénétration pilotés par la menace (TLPT).
- Exercices pratiques pour valider les processus de rétablissement et de communication.
Surveillance des tiers
- Clauses contractuelles : droit d’audit, localisation des données, indicateurs de résilience, plans de sortie.
- Contrôle accru des fournisseurs TIC jugés critiques par les autorités de l’UE.
4) Ce que cela signifie pour les utilisateurs de CoinW
Continuité de service renforcée
CoinW met en œuvre des systèmes redondants et des processus de reprise plus rapides en cas d’incident.
Notifications plus transparentes
Les utilisateurs recevront des mises à jour claires et rapides en cas d’incident majeur lié aux TIC.
Sécurité accrue des comptes
Authentification multifactorielle (MFA), surveillance antifraude et gestion proactive des sessions.
Écosystème de prestataires plus sûr
Les fournisseurs TIC critiques seront soumis à un contrôle renforcé et à des audits réguliers.
5) Lien avec MiCA, GDPR et NIS2
- MiCA régit le marché des crypto-actifs, tandis que DORA se concentre sur la résilience TIC. Ensemble, ils garantissent un cadre complet pour les acteurs du secteur financier.
- GDPR couvre la protection des données personnelles, tandis que DORA traite de la continuité et de la résilience opérationnelle.
- NIS2 est une directive plus large en matière de cybersécurité. Dans le domaine financier, DORA prévaut comme règle spécifique (lex specialis).
6) FAQ
DORA s’applique-t-il à CoinW hors de l’UE ?
Oui, pour les activités de CoinW visant les utilisateurs de l’UE ou opérant au sein du marché européen, les exigences de DORA s’appliquent.
Y aura-t-il des interruptions dues aux tests DORA ?
Certaines opérations de maintenance planifiées peuvent être nécessaires. CoinW en informera les utilisateurs à l’avance.
Comment DORA encadre-t-il les prestataires externes ?
Les contrats doivent inclure des droits d’audit, des indicateurs de performance et des plans de résilience. Les prestataires critiques seront supervisés par l’UE.
DORA couvre-t-il la protection des données personnelles ?
Non, la protection des données est régie par le GDPR, tandis que DORA traite de la résilience opérationnelle et technologique.
7) Sources officielles et références
- EUR-Lex : Règlement (UE) 2022/2554 (DORA)
- EIOPA : Page DORA officielle
- Espagne (DGSFP) : Informations sur le règlement DORA
- INCIBE : Qu’est-ce que le règlement DORA ?
- FMI : Note technique sur les risques cybernétiques et la résilience opérationnelle
- Conseil de l’UE : Communiqué de presse sur MiCA
- IBM Think : Page thématique DORA
