L'UE durcit sa réglementation financière avec DORA : responsabilité pénale pour les dirigeants

La Digital Operational Resilience Act (DORA), entrée en vigueur ce vendredi dans l'Union européenne, marque un tournant décisif dans la régulation du secteur financier en imposant de nouvelles obligations en matière de cybersécurité et de résilience opérationnelle. Cette législation novatrice s'applique à un large éventail d'entités financières, des banques traditionnelles aux entreprises de cryptomonnaies, ainsi qu'à leurs fournisseurs de services informatiques tiers, y compris ceux basés hors de l'UE. La réglementation introduit une obligation de reporting des incidents informatiques majeurs auprès des autorités nationales de régulation, illustrant la volonté de l'UE de renforcer la surveillance du secteur.

L'aspect le plus marquant de DORA réside dans ses mécanismes de sanctions, notamment la possibilité de poursuites pénales à l'encontre des membres du conseil d'administration en cas de négligence, une approche sans précédent dans la régulation financière européenne. Les sanctions financières peuvent atteindre jusqu'à 2% du chiffre d'affaires mondial annuel ou 10 millions d'euros pour les entités financières, et 1% du chiffre d'affaires quotidien mondial pour les fournisseurs tiers non conformes, applicable quotidiennement pendant une période maximale de six mois.

La loi impose également aux conseils d'administration de recevoir régulièrement des rapports de leurs équipes informatiques seniors, créant ainsi une chaîne de responsabilité claire en matière de résilience opérationnelle. Selon James Hughes, directeur technique de Rubrik, cette responsabilisation personnelle des dirigeants a déjà un impact significatif, comme en témoigne l'investissement massif des institutions financières dans leur mise en conformité, près de la moitié d'entre elles ayant dépensé plus d'un million de dollars en préparation.

Cette réglementation s'inscrit dans une tendance plus large de renforcement de la gouvernance des risques cyber dans le secteur financier, particulièrement suite à des incidents majeurs comme la mise à jour défectueuse de CrowdStrike l'année dernière. DORA représente ainsi une évolution majeure dans l'approche réglementaire européenne, combinant exigences opérationnelles strictes et responsabilisation individuelle des dirigeants pour garantir une meilleure résilience du système financier face aux menaces cybernétiques.

Source : The Cyber Post