DORA : Entrée en application le 17 janvier 2025 - Guide pratique pour les entités financières

Contexte et enjeux de l'application de DORA

Le règlement DORA (Digital Operational Resilience Act) entre en application le 17 janvier 2025, marquant une étape cruciale dans le renforcement de la résilience opérationnelle numérique du secteur financier européen. La CSSF (Commission de Surveillance du Secteur Financier) a publié des instructions détaillées pour accompagner les entités financières dans cette transition réglementaire majeure.

Nouvelles obligations de reporting et modalités pratiques

Les entités financières doivent désormais se conformer à de nouvelles exigences de reporting, notamment :

- L'obtention obligatoire d'un code LEI

- La création d'un rôle spécifique 'IT incident notifier' sur eDesk

- La notification des incidents ICT majeurs et des cybermenaces significatives via une nouvelle procédure dédiée

Gestion des incidents et reporting opérationnel

Le nouveau cadre prévoit une harmonisation des processus de reporting avec :

- Une procédure unifiée remplaçant les différents canaux existants

- Des modalités spécifiques pour le reporting pendant les week-ends et jours fériés

- La possibilité d'externaliser les obligations de reporting sous certaines conditions

Registre d'information et calendrier de mise en conformité

Points clés concernant le registre d'information :

- Première soumission requise entre le 1er et le 15 avril 2025

- Date de référence fixée au 31 mars 2025

- Processus de validation en plusieurs étapes par la CSSF et les ESAs

Impact sur les circulaires existantes

La CSSF souligne que DORA prend désormais préséance sur les éléments qui se chevauchent dans les circulaires existantes, notamment :

- CSSF 20/750 sur la gestion des risques ICT

- CSSF 22/806 sur l'externalisation

- CSSF 24/847 sur le reporting des incidents ICT

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Mettre en place immédiatement une task force dédiée pour coordonner la conformité DORA

2. Réviser les procédures de reporting d'incidents en intégrant les nouveaux formats et délais

3. Préparer le registre d'information en anticipant les contrôles de validation

4. Former les équipes aux nouvelles exigences de reporting et aux outils associés

5. Mettre à jour la documentation interne pour refléter la primauté de DORA sur les circulaires existantes