La BaFin publie des orientations sur la mise en œuvre de DORA
L'autorité de surveillance financière allemande, la BaFin, a publié le 8 juillet 2024 des orientations pour la mise en œuvre du règlement sur la résilience opérationnelle numérique (DORA). L'objectif est d'aider les institutions financières à se préparer aux nouvelles exigences qui entreront en vigueur en janvier 2025.
L'Autorité Fédérale de Supervision Financière allemande (BaFin) a publié le 8 juillet 2024 une communication de surveillance contenant des orientations pour la mise en œuvre du règlement sur la résilience opérationnelle numérique dans le secteur financier (DORA), portant sur la gestion des risques liés aux technologies de l'information et de la communication (TIC) et aux risques liés aux tiers fournisseurs de TIC.
Ces orientations s'adressent particulièrement aux entreprises sous la supervision de la BaFin qui relèvent du champ d'application des exigences de BAIT (pour les banques) et VAIT (pour les assurances). Ces entités devront désormais se conformer aux exigences de gestion des risques TIC stipulées dans les articles 5 à 15 du règlement DORA. La publication vise à accompagner les entreprises financières dans l'implémentation de DORA et leur préparation à son application à partir du 17 janvier 2025.
Les orientations sont basées sur les conclusions de six groupes de travail réunissant des représentants de l'industrie, de la BaFin et de la Bundesbank. Ces groupes ont comparé, en 2023, les exigences de DORA en matière de gestion des risques TIC et des risques liés aux tiers avec les exigences existantes des réglementations BAIT et VAIT.
La communication de la BaFin inclut également une liste complète des clauses contractuelles minimales que les entreprises financières doivent inclure dans leurs accords avec les fournisseurs de services TIC, conformément aux exigences de DORA et des normes techniques réglementaires (RTS) associées. Ces clauses sont essentielles pour la gestion des relations avec les fournisseurs critiques ou importants.
Les différences clés soulignées par la BaFin par rapport aux réglementations BAIT/VAIT incluent la responsabilité explicite de l'organe de direction pour la résilience opérationnelle numérique et la gestion des risques TIC sous DORA. Les exigences en matière d'identification, d'analyse et de gestion des risques TIC sont renforcées, et la prise en compte des risques liés à la chaîne d'approvisionnement, ainsi que des réglementations plus strictes concernant la sous-traitance, sont significatives. Bien que certains domaines tels que la gestion des identités et des accès puissent nécessiter moins d'ajustements, les exigences de DORA sont globalement plus spécifiques et potentiellement plus étendues que les réglementations précédentes basées sur des principes comme BAIT/VAIT.