Les enjeux de la réglementation DORA

 

Découvrez la réglementation DORA (Digital Operational Resilience Act), le nouveau cadre réglementaire qui adresse les risques introduits par la transformation numérique dans les services financiers.

Thèmes associés

Vos contacts

Imad Abounasr
Imad Abounasr
Partner, Financial Services, Risk, Banque et marchés de capitaux, France
Portrait photographique Sandrine Cullaffroz-Jover
Sandrine Cullaffroz-Jover
Avocate Associée, Département IP/IT/Data protection, Services Financiers, France

Quelles échéances pour s’y préparer ?

Le règlement étant d’application directe, il vient ainsi uniformiser au niveau européen les règles applicables à partir du 17 janvier 2025, date d’application de cette nouvelle réglementation à l’ensemble des États membres de l’UE.

Le règlement s’accompagne d’une directive (2022/2556), qui vient insérer des renvois au règlement au sein du corpus législatif européen existant (Directives CRD IV, Solvabilité 2, MIF 2, etc.). La loi venant transposer ces modifications devrait également définir le régime de sanctions applicable en cas de manquement aux obligations du règlement, pour lesquelles DORA laisse chaque État membre adapter à leur contexte respectif.

Afin de s’y préparer, les acteurs financiers et les prestataires de service TIC concernés doivent dès maintenant initialiser leur chantier de mise à niveau en commençant par évaluer les différents impacts opérationnels mais aussi stratégiques de cette nouvelle réglementation.

Afin de les y aider, la Commission européenne publiera un ensemble de normes réglementaires techniques et d’exécutions (RTS, et ITS) sous l’égide des autorités européennes de surveillance (EBA, EIOPA, ESMA). L’objectif de ce corpus sera d’accompagner les acteurs impactés dans leur mise en conformité en précisant les exigences de DORA. 

La publication de ces RTS et ITS interviendra en deux étapes, une première partie devant intervenir avant le 17 janvier 2024 et une seconde partie avant le 17 juillet 2024. À ce titre, les autorités européennes de surveillance ont lancées le 19 juin une procédure de consultation publique sur la première partie des RTS et ITS, ouverte jusqu’au 11 septembre 2023. La consultation publique sur la seconde partie des RTS et ITS devrait quant à elle s’ouvrir à compter de novembre ou décembre 2023.

Digital Operational Resilience Act (DORA) Proposal

Read the paper

L’équipe

Imad Abounasr

Partner, Financial Services, Risk, Banque et marchés de capitaux, France
Financial Services Cybersecurity Leader chez EY en France, engagé dans la construction d’un monde plus sûr, en marche vers le progrès technologique.
Paris La Défense, FRA

Sandrine Cullaffroz-Jover

Avocate Associée, Département IP/IT/Data protection, Services Financiers, France
Geek Lawyer. Passionnée d’entrepreneuriat et de technologies. Intervenante auprès des Université Technologique de Troyes et Paris Dauphine.
Paris La Défense, FRA

EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, lesquelles sont toutes des entités juridiques distinctes, et peut désigner une ou plusieurs de ces sociétés membres. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume-Uni, ne fournit aucun service aux clients.