Règlement DORA : implications contractuelles pour les entités financières et les prestataires informatiques

La transformation numérique du secteur financier n’a pas que du bon : elle augmente aussi les risques en exposant plus de ressources aux cyberattaques. Le règlement DORA de l’Union européenne a pour objectif d’identifier, prévenir et réduire ces risques, notamment par le biais d’un dispositif contractuel entre les prestataires de services et les entités financières. Cette chronique de Pascal Agosti, avocat associé, docteur en droit, de la société d’avocats Caprioli & Associés, donne un aperçu des implications de DORA du point de vue contractuel.

Les risques encourus par le secteur financier liés à l’utilisation des technologies de l’information et de la communication (TIC) sont en augmentation croissante. Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (dit DORA) prévoit un ensemble de mesures visant à identifier, prévenir, gérer et réduire ces risques, en s’appuyant en particulier sur le dispositif contractuel à mettre en place entre les prestataires tiers de services TIC et les entités financières.

Pourquoi un règlement ?

Les technologies de l’information se sont progressivement répandues dans le secteur financier. Avec celles-ci, de nouveaux risques ont émergé, pour les entités financières de plus en plus exposées aux cyberattaques et aux incidents liés aux TIC comme les attaques par déni de service. Face à ces risques, aucune approche réglementaire d’ensemble n’avait été encore envisagée jusqu’au Règlement DORA.

Source