Par Ilias Chantzos, Global Privacy Officer et Head of EMEA Government Affairs, Broadcom
Le 11 mai 2022, l’Union européenne (UE) est parvenue à un accord provisoire sur la nouvelle loi sur la résilience opérationnelle numérique (DORA). Malgré le choix du terme, DORA n’a rien de « provisoire ». En fait, l’une des réglementations de cybersécurité les plus importantes au monde pour les services financiers et leurs chaînes d’approvisionnement est un fait accompli.
Tout ce qui reste avant l’adoption formelle, prévue courant octobre, implique principalement une poignée de formalités et une traduction dans les 24 langues officielles des États membres de l’UE.
DORA représente la réponse de l’UE au nombre toujours croissant de cyberattaques contre les institutions financières. Il est conçu pour renforcer la sécurité des entreprises financières de l’UE, telles que les banques, les compagnies d’assurance, les entreprises d’investissement, etc., en imposant des exigences de résilience et en réglementant la chaîne d’approvisionnement. Mais, comme je l’ai noté dans un précédent Publierles principes de DORA s’étendent bien au-delà de l’UE et de son secteur financier.
Les exigences uniformes de DORA en matière de sécurité des réseaux et des systèmes d’information englobent non seulement les entreprises du secteur financier, mais également les fournisseurs tiers critiques fournissant des services liés aux technologies de l’information et des communications au secteur financier, tels que les plates-formes cloud et l’analyse de données.
En effet, la portée de DORA s’étend à pratiquement toute entreprise offrant des services de technologies de l’information et de la communication (TIC) considérés comme essentiels à la chaîne d’approvisionnement soutenant le secteur financier européen, que cette entreprise ou ce service soit basé ou non dans l’UE. En fait, sous DORA, la complexité de la chaîne d’approvisionnement ou le manque de présence de l’UE sont tous deux considérés comme des facteurs de risque.
Imposer de nouvelles perspectives réglementaires
DORA est unique en ce sens qu’elle apporte un niveau nouveau et différent de contrôle réglementaire à une grande variété d’entreprises mondiales. Les exigences de DORA mandat — pas simplement suggérer —le respect de ses dispositions. Tout aussi important, l’impact de ce nouveau niveau de contrôle réglementaire diffère selon le point de vue de l’entreprise.
Les institutions financières habituées à un environnement réglementaire principalement conçu pour évaluer le risque et la stabilité financière devront désormais prendre tout aussi au sérieux le risque potentiel posé par leurs opérations TIC. Les institutions financières sont habituées à gérer le risque sous la forme d’exigences de fonds propres. DORA adopte une approche différente en imposant des exigences spécifiques en matière de comportement et de performances. Du point de vue des institutions financières, cette élévation du risque a des conséquences sur de multiples aspects de leur activité, tels que la façon dont elles consomment la technologie et dont elles transforment leur activité en passant à de nouvelles technologies comme le cloud computing. Cela comprend les stratégies et les capacités globales de gestion des risques, la sécurité de la chaîne d’approvisionnement, ainsi que la dotation en personnel et les politiques organisationnelles pour assurer une évaluation et une conformité appropriées des risques liés aux TIC.
DORA modifie également la perspective réglementaire des organisations TIC. Jusqu’à présent, ils ont été réglementés principalement sur des questions liées aux données, telles que la confidentialité des données et la notification de violation de données, sur la base de préoccupations concernant les données personnelles et d’objectifs politiques tels que la souveraineté numérique. Des règles révolutionnaires, telles que le Règlement général sur la protection des données (RGPD) en Europe, et le plus récent California Consumer Privacy Act (CCPA) aux États-Unis, viennent facilement à l’esprit.
Les organisations TIC peuvent également avoir d’autres obligations réglementaires en matière de sécurité ou avoir été classées comme infrastructure critique, selon l’endroit où elles se trouvent, par exemple en vertu de la Directive sur la sécurité des réseaux et de l’information (NIS) en Europe, la Loi de 2018 sur la cybersécurité à Singapour, ou spécifiques à un secteur législation pour des industries spécialisées, comme les télécoms aux États-Unis.
Maintenant, si les entreprises des TIC desservent des institutions financières dans l’UE, elles seront très probablement également soumises à DORA. Ainsi, en plus de leurs cadres réglementaires antérieurs, les fournisseurs de TIC désignés comme offrant un service essentiel seront soudainement réglementés par DORA d’une manière qui donne vraiment l’impression qu’ils deviennent extensions des institutions financières de l’UE qu’ils desservent. Quel que soit le point de vue, il s’agit d’un changement spectaculaire, tant pour les institutions financières que pour les fournisseurs de TIC.
Mais ce n’est pas tout. DORA change la perspective de l’établissement réglementaire de l’UE. Les régulateurs qui sont des experts de la conformité des institutions financières doivent désormais étendre leur champ d’action pour inclure les fournisseurs de TIC offrant des services critiques, tels que les fournisseurs de cloud, les services d’analyse de données et d’autres entreprises non financières. Dans les pays dotés de structures réglementaires complexes, il sera également nécessaire de coopérer avec d’autres organismes chargés de réglementer ces types supplémentaires d’industries non financières.
Relever les défis
DORA exige des institutions financières de l’UE qu’elles évaluent leur propre maturité en matière de cybersécurité et de gestion des risques. La compréhension et la gestion de la performance des risques de leur chaîne d’approvisionnement seront au cœur de cet effort.
En général, les institutions financières sont aptes aux tests de résistance pour déterminer la sécurité et la stabilité financière. C’est un défi différent d’étendre ce genre de tests à d’autres organisations. Ainsi, pour le secteur financier de l’UE, la manière de gérer les fournisseurs, la gestion des risques et les capacités opérationnelles dans une chaîne d’approvisionnement de plus en plus complexe et étendue pose le plus grand casse-tête.
Par exemple, une institution financière peut avoir son siège social en Europe mais voir toutes ses activités de support externalisées auprès d’entreprises basées en Inde. Ces services de soutien peuvent techniquement ne pas être des institutions financières. Mais DORA exigera que l’institution financière évalue si le fournisseur est essentiel à ses opérations et applique les exigences DORA pertinentes à cette relation.
Pour les entreprises non basées dans l’UE, la question clé est celle de la juridiction et de l’accès au marché. Les institutions financières ou les fournisseurs de TIC opérant en dehors de l’UE ne sont pas concernés. Mais si l’entreprise est une institution financière ou un fournisseur de services TIC au service du secteur financier de l’UE de quelque manière que ce soit, elle sera très probablement soumise à DORA, directement ou indirectement.
Compte à rebours jusqu’en 2024
À moins que quelque chose ne change dans le texte final, DORA entre en vigueur 24 mois après son adoption officielle. De manière réaliste, cela devrait se situer vers la fin de 2024. La bonne nouvelle est que cela laisse beaucoup de temps aux organisations pour se préparer à la conformité. Plus important encore, il n’est pas trop long pour être inclus dans un cycle budgétaire d’entreprise typique.
Mais avant que cette échéance ne vous tombe dessus, commencez à vous préparer à présent. Voici cinq étapes clés :
- Utilisez le temps jusqu’en 2024 à bon escient.
- Comprendre où vous êtes. Recherchez, trouvez et identifiez vos lacunes en matière de conformité.
- Déterminez ce dont vous avez besoin pour combler vos lacunes.
- Éduquer et obtenir l’adhésion de la haute direction.
- Budget pour les 24 mois.
L’horloge tourne.
Pour en savoir plus sur la manière dont Broadcom Software peut vous aider à moderniser, optimiser et protéger votre entreprise, contactez-nous ici.
À propos d’Ilias Chantzos :
Logiciel Broadcom
Ilias est Global Privacy Officer et responsable des programmes des affaires gouvernementales pour l’Europe, le Moyen-Orient et l’Afrique (EMEA) de Broadcom. Il dirige le programme mondial de confidentialité dans les multiples unités commerciales et régions de l’entreprise.
Source link