Règlement (UE) 2022/2554 (DORA)
DORA s’applique aux entités financières de l’UE et établit des exigences en matière de gestion des risques TIC, de signalement des incidents, de tests de résilience opérationnelle numérique et de gestion des risques TIC liés aux tiers.
Exigences clés
Règlement (UE) 2022/2554 (DORA)
Comment Acuna répond
Cartographier les exigences DORA sur vos systèmes TIC et le périmètre de votre entité financière.
Mettre en œuvre les contrôles des risques TIC, assigner les responsabilités, maintenir le registre des actifs TIC.
Conduire les évaluations des risques TIC, gérer les prestataires TIC tiers, suivre les incidents.
Préparer les preuves pour le reporting aux autorités nationales compétentes, gérer les constatations TLPT et les actions correctives.
FAQ
DORA s’applique aux établissements de crédit, aux établissements de paiement, aux entreprises d’investissement, aux prestataires de services sur crypto-actifs, aux compagnies d’assurance et aux prestataires de services TIC tiers opérant dans l’UE.
Le TLPT (test de pénétration fondé sur les menaces) est une exigence de test avancé obligatoire pour les entités financières significatives. Il simule des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les acteurs de la menace.
Le module intégré Supplier Shield d’Acuna gère l’intégralité du cycle de vie des prestataires TIC tiers, du démarrage des évaluations à la surveillance continue, répondant aux exigences du Chapitre V de DORA.
Les incidents majeurs liés aux TIC doivent être signalés à l’autorité nationale compétente, avec une notification initiale dans les 4 heures suivant la classification, un rapport intermédiaire dans les 72 heures et un rapport final dans le délai d’un mois.
DORA complète les réglementations existantes (lignes directrices de l’ABE, AEAPP, AEMF). La cartographie inter-référentiels d’Acuna vous permet de gérer DORA aux côtés d’ISO 27001 et des exigences sectorielles sans duplication.
Réponses associées
Le Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique (DORA) s’applique aux entités financières de l’UE. Il établit des exigences en matière de gestion des risques TIC, de signalement des incidents TIC, de tests de résilience opérationnelle numérique (y compris les tests de pénétration fondés sur les menaces, TLPT, pour les entités significatives), de gestion des risques TIC liés aux tiers et de partage d’informations sur les cybermenaces. DORA est entré en vigueur le 17 janvier 2025. Acuna couvre les exigences DORA sur les quatre volets : cartographie des référentiels dans Comply, contrôles TIC et inventaire des actifs dans Implement, gestion des incidents et des tiers dans Operate, et constats TLPT et actions correctives dans Assure.
Le Chapitre IV de DORA exige que les entités financières maintiennent un programme de test de résilience opérationnelle numérique. Cela inclut les évaluations de vulnérabilités, les tests de sécurité réseau, l’analyse des lacunes et les revues de sécurité des applications. Les entités significatives doivent également conduire des tests de pénétration fondés sur les menaces (TLPT) au moins tous les trois ans, simulant des attaques réelles contre les systèmes de production actifs à partir de renseignements sur les menaces. Les TLPT doivent être réalisés par des testeurs qualifiés et les résultats communiqués à l’autorité nationale compétente. Acuna suit la planification des TLPT, les constats et les actions correctives dans le volet Assure.
Notre équipe vous présentera la mise en œuvre de DORA dans Acuna.
Demander l’accès