Le Luxembourg se prépare à mettre en place une nouvelle réglementation appelée DORA (Digital Operational Resilience Act), qui vise à renforcer la sécurité et la résilience opérationnelle des institutions financières dans le domaine du numérique. Cette nouvelle réglementation, qui fait partie des efforts plus larges de l'Union européenne pour renforcer la stabilité financière et la protection des consommateurs, aura un impact significatif sur les acteurs du secteur financier au Luxembourg. Elle entrera en vigueur le 17 janvier 2025.
Cette réglementation DORA vise à établir un cadre juridique solide pour la gestion des risques numériques dans le secteur financier. Elle vise à garantir que les institutions financières et les fournisseurs de services numériques opèrent de manière sûre et fiable, en minimisant les risques liés aux incidents opérationnels et en assurant la continuité des services.
La réglementation DORA impose un certain nombre de nouvelles exigences aux institutions financières au Luxembourg. Ces exigences concernent principalement les domaines de la cybersécurité, de la gouvernance des technologies de l'information et de la gestion des risques opérationnels. L'objectif est de garantir la sécurité des systèmes d'information, de renforcer la résilience opérationnelle et de protéger les données sensibles des clients.
A qui la réglementation s’applique ?
La nouvelle réglementation DORA concerne principalement les institutions financières au Luxembourg (banques, compagnies d'assurance, gestionnaires d'actifs, intermédiaires financiers…).
Elle s'applique à toutes les entités opérant dans le secteur financier et qui traitent des données sensibles des clients ou utilisent des systèmes informatiques dans le cadre de leurs activités (services bancaires en ligne, les transactions électroniques, la conservation de données clients, la gestion des risques opérationnels et la cybersécurité).
Les principaux domaines couverts par la réglementation DORA incluent :
➡️ Gestion des risques opérationnels : Les institutions financières devront mettre en place des mécanismes de gestion des risques solides pour identifier, évaluer et gérer les risques opérationnels liés à leurs activités numériques.➡️ Cybersécurité : Des mesures de sécurité plus strictes devront être mises en place pour protéger les systèmes informatiques et les données sensibles des institutions financières contre les cyberattaques.
➡️ Gouvernance des technologies de l'information : Les institutions financières devront mettre en place une gouvernance solide des technologies de l'information, y compris des politiques, des procédures et des processus clairs pour la gestion des technologies de l'information.
➡️ Notification des incidents : Les institutions financières seront tenues de notifier rapidement les incidents de cybersécurité et autres incidents opérationnels importants aux autorités compétentes.
Sanctions et supervision
DORA prévoit des sanctions dissuasives en cas de non-conformité avec la réglementation. Les entreprises qui ne respectent pas les exigences de résilience opérationnelle peuvent être passibles d'amendes substantielles, qui peuvent atteindre un pourcentage significatif de leur chiffre d'affaires annuel. De plus, les autorités de régulation seront chargées de superviser la conformité des entreprises et d'appliquer les mesures appropriées en cas de non-conformité.
La réglementation DORA représente une étape importante dans la promotion de la résilience opérationnelle dans le secteur financier européen. En établissant des normes communes pour la gestion des risques liés aux technologies de l'information, DORA renforce la confiance des investisseurs et des consommateurs dans le secteur financier. En adoptant des mesures proactives pour prévenir les incidents et en améliorant la coordination entre les autorités de régulation, DORA contribue à garantir la stabilité et la robustesse du secteur financier face aux défis numériques actuels et futurs.
NSI Luxembourg accompagne les entreprises du secteur financier
NSI Luxembourg peut vous aider à vous adapter à la réglementation DORA. Nos équipes vous offre une expertise en matière de cybersécurité, de gestion des risques et de conformité réglementaire. NSI Luxembourg aide les entreprises à effectuer des évaluations de leurs infrastructures, à concevoir des politiques de sécurité, à mettre en place une gouvernance solide et à fournir des services de veille technologique et de gestion des incidents. Vous souhaitez en savoir plus sur cette réglementation ? Contactez nos équipe via info@nsi.lu
