Depuis son entrée en application le 17 janvier 2025, le Digital Operational Resilience Act (« DORA ») impose de nouvelles exigences aux entités financières et à leurs prestataires de services TIC. Cependant, face à la complexité de ces obligations, de nombreuses questions demeurent. La FAQ de l’ACPR (Autorité de contrôle prudentiel et de résolution), mise à jour le 7 avril 2025, apporte des éclaircissements essentiels sur les attentes du régulateur et la responsabilité des acteurs concernés.
Cette actualisation intervient quelques jours après l’adoption par le Sénat du projet de loi n° 1112 relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (« projet de loi résilience »), lequel vient notamment adapter diverses dispositions du Code monétaire et financier afin de mettre le droit interne en cohérence avec le règlement DORA.
A cet égard, l’ACPR rappelle aux assujettis que DORA est d’ores et déjà applicable aux entités financières et aux prestataires TIC. Toutefois, elle précise qu’en attendant l’adoption du projet de loi par l’Assemblée nationale, les succursales de pays tiers d’entreprises d’investissement au sens de l’article L. 532-48 du Code monétaire et financier, les sociétés de financement au sens du II de l’article L. 511-1 du même code, ainsi que les entités financières établies en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et à Saint-Pierre-et-Miquelon ne sont pas tenues d’appliquer les exigences du règlement DORA au 17 janvier 2025. Elle précise également que les établissements financiers monégasques ne sont pas tenus d’appliquer les exigences de DORA jusqu’à l’adoption d’une révision de l’accord monétaire entre l’Union européenne et la principauté de Monaco.
Précisions sur les obligations de reporting
L’ACPR explicite les modalités des reportings imposés par DORA aux entités financières soumises à celui-ci ainsi qu’aux établissements de crédit classés comme importants.
Depuis le 17 janvier 2025, les entités financières soumises à DORA sont tenues de notifier tous les incidents majeurs liés aux TIC et aux cybermenaces. Les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique sont quant à eux tenus de déclarer également les incidents opérationnels ou de sécurité liés au paiement.
