Post de leïla Abajadi

« 𝓢𝓲𝔁 » C’est exactement le nombre de mois qui nous sépare de la date d’entrée en application dans tous les pays membres de l’Union Européenne (UE) du règlement DORA, prévue le 17 janvier 2025 📆. Au début, on a pensé qu'il s'agissait de Dora l'exploratrice mais non ce n'est pas le cas 😁 👉 𝓠𝓾’𝓮𝓼𝓽-𝓬𝓮 𝓵𝓮 𝓻è𝓰𝓵𝓮𝓶𝓮𝓷𝓽 𝓓𝓞𝓡𝓐 ? Acronyme de l’expression « 𝘋𝘪𝘨𝘪𝘵𝘢𝘭 𝘖𝘱𝘦𝘳𝘢𝘵𝘪𝘰𝘯𝘢𝘭 𝘙𝘦𝘴𝘪𝘭𝘪𝘦𝘯𝘤𝘦 𝘈𝘤𝘵 », DORA est le nouveau cadre réglementaire adopté par le Parlement européen et le Conseil de l’UE dans le but d’assurer la résilience opérationnelle numérique des entreprises 🏦 du secteur financier (Banques, Assurances, Gestionnaires de Fonds d’Investissement Alternatifs, etc.) et des prestataires de services TIC opérant dans les services financiers. Ce cadre réglementaire est constitué de 2 actes législatifs dont la Directive 2022/2556 qui vient modifier et mettre en cohérence les directives déjà existantes dans le secteur financier (CRD IV, Solvabilité 2, MiFiD, AIFM, etc.) avec les nouvelles dispositions du règlement DORA. 👉 𝓠𝓾𝓮𝓵𝓼 𝓻ô𝓵𝓮𝓼 𝓳𝓸𝓾𝓮𝓻𝓸𝓷𝓽 𝓵𝓮𝓼 𝓬𝓸𝓷𝓽𝓻ô𝓵𝓮𝓾𝓻𝓼 𝓹𝓮𝓻𝓶𝓪𝓷𝓮𝓷𝓽𝓼 𝓭𝓮 𝓷𝓲𝓿𝓮𝓪𝓾 2 𝓪𝓿𝓮𝓬 𝓵’𝓪𝓿è𝓷𝓮𝓶𝓮𝓷𝓽 𝓭𝓾 𝓻è𝓰𝓵𝓮𝓶𝓮𝓷𝓽 𝓓𝓞𝓡𝓐 ? Pour permettre à leurs entreprises d’être 𝘋𝘖𝘙𝘈 𝘊𝘰𝘮𝘱𝘭𝘪𝘢𝘯𝘵, les contrôleurs permanents de niveau 2 devront entre autres : ✍ Contrôler la bonne application des politiques et procédures internes de gestion des risques liés aux Technologies de l’Information et de la Communication (TIC) 🖥     ✍ S’assurer que tous les tests de résilience opérationnelle numérique sont effectués et que les Procès-Verbaux (PV) de recette informatique📄sont transmis dans les délais requis aux autorités de contrôle (notamment ACPR en France, CSSF au Luxembourg, FINMA en Suisse, FCA & PRA au Royaume Uni, etc…)     ✍ Mettre en place des contrôles pour s’assurer que leurs prestataires de services tiers sont conformes à ce règlement      ✍ Faire un 𝘨𝘢𝘱 𝘢𝘯𝘢𝘭𝘺𝘴𝘪𝘴 entre les dispositifs actuels de gestion des risques TIC et les dispositifs obligatoires énoncées dans le règlement DORA      ✍ Émettre des recommandations afin de rendre plus robuste le dispositif de maitrise des risques relatifs aux TIC et faire un suivi de la mise en œuvre desdites recommandations      ✍ Sensibiliser les opérationnels sur les exigences du règlement DORA et sur les 𝘉𝘦𝘴𝘵 𝘗𝘳𝘢𝘤𝘵𝘪𝘤𝘦𝘴 en matière de résilience opérationnelle numérique 𝓢𝓮𝓵𝓸𝓷 𝓿𝓸𝓾𝓼, 𝓺𝓾𝓮𝓵s 𝓪𝓾𝓽𝓻𝓮s 𝓻ô𝓵𝓮s 𝓹𝓸𝓾𝓻𝓻𝓪𝓲𝓮𝓷𝓽 𝓳𝓸𝓾𝓮𝓻 𝓵𝓮𝓼 𝓬𝓸𝓷𝓽𝓻ô𝓵𝓮𝓾𝓻𝓼 𝓹𝓮𝓻𝓶𝓪𝓷𝓮𝓷𝓽𝓼 𝓬𝓸𝓷𝓬𝓮𝓻𝓷𝓪𝓷𝓽 𝓵𝓮 𝓻è𝓰𝓵𝓮𝓶𝓮𝓷𝓽 𝓓𝓞𝓡𝓐 ? #DORA #TIC #Audit_Interne, #Contrôle_Permanent, #Financial_Services

𝐋𝐚 𝐃𝐒𝐏𝟑 𝐞𝐭 𝐥𝐞 𝐫è𝐠𝐥𝐞𝐦𝐞𝐧𝐭 𝐅𝐈𝐃𝐀 : 𝐯𝐞𝐫𝐬 𝐮𝐧𝐞 𝐜𝐨𝐥𝐥𝐚𝐛𝐨𝐫𝐚𝐭𝐢𝐨𝐧 𝐫𝐞𝐧𝐟𝐨𝐫𝐜é𝐞 𝐞𝐧𝐭𝐫𝐞 𝐥𝐞𝐬 𝐚𝐜𝐭𝐞𝐮𝐫𝐬 𝐝𝐚𝐧𝐬 𝐮𝐧 𝐜𝐨𝐧𝐭𝐞𝐱𝐭𝐞 𝐫é𝐠𝐥𝐞𝐦𝐞𝐧𝐭𝐚𝐢𝐫𝐞 é𝐯𝐨𝐥𝐮𝐭𝐢𝐟 🚀 𝐃𝐒𝐏𝟑 : 𝐌𝐨𝐝𝐞𝐫𝐧𝐢𝐬𝐚𝐭𝐢𝐨𝐧 𝐞𝐭 𝐬é𝐜𝐮𝐫𝐢𝐭é 𝐚𝐜𝐜𝐫𝐮𝐞 La Directive sur les Services de Paiement 3 (DSP3) vise à renforcer la sécurité des transactions de paiement et à promouvoir l'innovation dans le secteur. Les principaux axes incluent : ·       Sécurité renforcée : Mise en place de mesures plus strictes pour protéger les consommateurs contre la fraude. ·       Interopérabilité accrue : Facilitation de l'intégration des nouvelles technologies entre les prestataires. ·       Transparence et confiance : Amélioration de la transparence pour renforcer la confiance des consommateurs. 💡 𝐑è𝐠𝐥𝐞𝐦𝐞𝐧𝐭 𝐅𝐈𝐃𝐀 : 𝐈𝐧𝐧𝐨𝐯𝐚𝐭𝐢𝐨𝐧 𝐞𝐭 𝐩𝐫𝐨𝐭𝐞𝐜𝐭𝐢𝐨𝐧 Le règlement sur les Fintechs et les Innovations Digitales dans l'Assurance (FIDA) vise à encadrer et à promouvoir les innovations technologiques dans le secteur de l'assurance : ·       Encouragement de l'innovation : Soutien aux fintechs et insurtechs dans le développement de nouvelles solutions digitales. ·       Protection des consommateurs : Mise en place de protections robustes pour les utilisateurs de services d'assurance innovants. ·       Collaboration intersectorielle : Promotion de la coopération entre startups, assureurs et régulateurs. 🤝 𝐕𝐞𝐫𝐬 𝐮𝐧𝐞 𝐜𝐨𝐥𝐥𝐚𝐛𝐨𝐫𝐚𝐭𝐢𝐨𝐧 𝐫𝐞𝐧𝐟𝐨𝐫𝐜é𝐞 Dans un contexte réglementaire en constante évolution, la collaboration entre les acteurs financiers est essentielle. La DSP3 et le règlement FIDA offrent un cadre propice à cette collaboration : ·       Meilleure intégration des technologies : Facilitation de l'innovation rapide et efficace. ·       Harmonisation des pratiques : Réduction des risques et augmentation de la confiance des consommateurs. ·       Écosystème dynamique : Soutien aux startups pour un environnement financier résilient et inclusif.  La DSP3 et le règlement FIDA représentent des avancées significatives vers une régulation plus moderne et collaborative du secteur financier. En encourageant l'innovation tout en renforçant la sécurité et la protection des consommateurs, ces cadres réglementaires posent les bases d'un avenir financier plus transparent et inclusif. #DSP2 #DSP3 #FIDA #PSR #Réglementaire 

𝗔𝗥𝗧𝗜𝗖𝗟𝗘 | 🔎 𝗭𝗼𝗼𝗺 𝘀𝘂𝗿 𝗹𝗮 𝗿𝗲́𝗴𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 #𝗗𝗢𝗥𝗔 𝗽𝗼𝘂𝗿 𝗿𝗲𝗻𝗳𝗼𝗿𝗰𝗲𝗿 𝗹𝗮 𝗿𝗲́𝘀𝗶𝗹𝗶𝗲𝗻𝗰𝗲 𝗼𝗽𝗲́𝗿𝗮𝘁𝗶𝗼𝗻𝗻𝗲𝗹𝗹𝗲 𝗻𝘂𝗺𝗲́𝗿𝗶𝗾𝘂𝗲 𝗱𝗲𝘀 𝗶𝗻𝘀𝘁𝗶𝘁𝘂𝘁𝗶𝗼𝗻𝘀 𝗳𝗶𝗻𝗮𝗻𝗰𝗶𝗲̀𝗿𝗲𝘀 📋 𝗟𝗲𝘀 𝗶𝗻𝗳𝗼𝘀 𝗮̀ 𝗿𝗲𝘁𝗲𝗻𝗶𝗿 : L'objectif de DORA est de renforcer la stabilité et la sécurité du système financier européen 🛡️ Qui est concerné ? Les #banques, les compagnies d'#assurance, les prestataires de services de #paiement, les entreprises d'#investissements, les infrastructures de marché, les gestionnaires de fonds & les #FinTech 𝘝𝘰𝘶𝘴 𝘦̂𝘵𝘦𝘴 𝘤𝘰𝘯𝘤𝘦𝘳𝘯𝘦́𝘴 𝘱𝘢𝘳 𝘤𝘦𝘵𝘵𝘦 𝘳𝘦́𝘨𝘭𝘦𝘮𝘦𝘯𝘵𝘢𝘵𝘪𝘰𝘯 𝘲𝘶𝘪 𝘴'𝘢𝘱𝘱𝘭𝘪𝘲𝘶𝘦𝘳𝘢 𝘢̀ 𝘱𝘢𝘳𝘵𝘪𝘳 𝘥𝘦 𝘫𝘢𝘯𝘷𝘪𝘦𝘳 2025 ? ➡️ Commençons par faire un diagnostic 🧐 et évaluer votre conformité vis-à-vis du règlement DORA ! 👉 Découvrez dans notre article écrit par Jérémy Marc toutes les composantes de cette réglementation : https://lnkd.in/eYfwdFif #cabinet #conseil #accompagnement #réglementation #conformité 

Le règlement « Digital Operational Resilience Act », également connu sous l’acronyme DORA, a pour objectif d’amener les entités financières à évaluer puis à mitiger leurs risques de dépendances aux technologies de l’information et de la communication (TIC). Complétant les dispositifs réglementaires existants, DORA exige la mise en place d’une série de mesures, dont certaines doivent être accomplies régulièrement. L’objectif de cet article écrit par notre Consultant Olivier P. est d’apporter une vision synthétique de ces tâches, que nous pourrions dire récurrentes : https://lnkd.in/eeY4NxZW #DORA

Le replay Yogosha en partenariat avec RISKINTEL MEDIA "DORA : la compliance au service de la résilience du secteur financier?” et la participation de Dina Benamar (Crédit Agricole Assurances), Sébastien Viou (Stormshield) et Marc-Antoine LEDIEU (Ledieu Avocats) est maintenant disponible. Ce débat animé par Yasmine DOUADI a permis de croiser les points de vue sur: ✅ La raison d'être de DORA par rapport à NIS2 et la norme ISO27001 ✅ Les dimensions d'harmonisation de DORA, notamment : 👉 Vision unifiée du risque opérationnel (Cyber, IT, PCA/PRA) 👉 Cartographie des fonctions critiques et importantes, des fournisseurs TIC critiques 👉 Définition & process de gestion des incidents majeurs ✅ Un cadre d'application pertinent pour toutes les zones géographiques de l'entité financière et de ses fournisseurs TIC critiques ✅ La gestion du risque fournisseur TIC critiques, notamment : 👉 Mise en place d'un référentiel central des contrats 👉 Evaluation du risque de dépendance et de concentration informatique 👉 L'implication des fournisseurs dans les tests de résilience annuels et TLPT 👉 Plan de sortie, plan de contournement et test de ces plans ✅ Les tests de résilience & programme de read-teaming (TLPT) 👉 Couverture des tests de résilience alignée sur les fonctions critiques et importantes 👉 Le Bug Bounty comme étape intermédiaire entre les tests de cyber-résilience annuels et les TLPT tous les 3 ans 👉 TLPT : un modèle de red-teaming structuré (TIBER) et exigeant (de 6 à 9 mois, parties prenantes multiples dont la participation du régulateur) à concilier avec l'absolue nécessité de ne pas impacter les systèmes en production ✅ La montée en puissance de l'arsenal réglementaire en gestion du risque opérationnel numérique (LPM, NIS2, DORA, CRA, IA Act,...) 👉 Industrialisation des process (ex: audits groupés de fournisseurs) et des outils de gouvernance (ex: management & reporting des tests de résilience) #DORA #OffSec #Yogosha Pour accéder au replay, c'est ici 👇 https://lnkd.in/e5rrYXhQ

📝 Comment le Contract Management peut être au service du règlement DORA ? 🇪🇺 #DORA (Digital Operations Resilience Act) est le règlement sur la résilience opérationnelle numérique qui vise ainsi à renforcer la stabilité du système financier européen. 🔎 Malgré les discussions en cours sur l’application de certaines dispositions, il est clair que le règlement DORA entraînera des répercussions importantes sur les pratiques de gestion des risques des entités financières et sur les relations avec leurs fournisseurs. 🙋♀️ Teresa Dorner, Directrice Conseil et Fernanda Freitas, Manager chez iQo vous expliquent pourquoi et comment le Contract Management a toute sa place pour répondre à ces enjeux. À LIRE ICI 👉 https://lnkd.in/eMb-zwPY Hugues Morley-Pegge Franck César

➡️ Arnaud QUILTON : "Le règlement européen DORA s’appliquera en France à compter du 17 janvier 2025.    Son ambition est de garantir la « résilience opérationnelle numérique » des acteurs du secteur financier en imposant diverses mesures leur permettant de garantir et de réévaluer l’intégrité opérationnelle de leur système d’information.   Par ricochet, cette réglementation impacte les prestataires informatiques (sous-traitants ou fournisseurs) travaillant avec ces entités financières.    💡 L’objet du présent article est d’appréhender les principales mesures du règlement DORA ainsi que ses conséquences juridiques et organisationnelles pour les acteurs concernés." #DORA #reglementDORA #entitefinanciere #prestatairenumerique #prestataireinformatique #droitdunumerique #contratinformatique #compliance #resilience #resiliencenumerique #risque #cyberattaque 

📢[17 janvier 2025] #DORA : l'EIOPA publie le second lot de normes techniques. Après une première série en janvier, les autorités européennes de surveillance dont fait partie l’EIOPA publient un deuxième ensemble de normes. Ce lot inclut des normes techniques de réglementation (RTS), de mise en œuvre (ITS), et des lignes directrices. Points clés : 📄Reporting TIC : contenu, format, modèles, délais et cadre de surveillance. 🤝Coopération et Surveillance : directives pour les échanges d'informations entre les autorités. 🛡️Tests d'Intrusion et Équipe Commune d'Examen : critères et méthodes. Ces normes harmonisées visent à garantir la continuité des services financiers et la #sécurité des #données à travers l'UE. Préparez vous aux changements à venir ! 🔍 #DORA #EIOPA #RéglementationFinancière #RésilienceOpérationnelle #Cybersécurité #Finance #Banque #Assurance #Régulation2025

📃 La loi #SREN, qui adapte au niveau français le Règlement européen sur la gouvernance des données, officialise l’existence des Prestataires de Services d’Intermédiation de Données (PSID). C'est l’Arcep qui est chargée de recevoir les notifications des intermédiaires de données français et d’instruire les demandes de labellisation des PSID en application du Data Governance Act #DGA. 🗞 Dans une interview accordée à l'AID - Association pour l’Intermédiation de Données, Léo Quentin, Chef d’unité Services de données et cloud à l’Arcep, revient sur les nouvelles missions de l'Arcep autour de l'intermédiation de données. ➡ https://lnkd.in/erJ8G8SM Laure de La Raudiere CNIL Autorité de la concurrence Arcom Body of European Regulators for Electronic Communications (BEREC) Direction Générale des Entreprises Amandine REIX Adrien Laroche Stéphanie Rennes Direction interministérielle du numérique (DINUM) European Commission Malte Beyer-Katzenberger Mouvement des Entreprises de France Maxence Demerlé numeum InfraNum FFB - Fédération Française du Bâtiment Claire GUIDI 🤝 Nos adhérents : Afteriize | Agdatahub | Apidae Tourisme | Banque des Territoires | Euris | Hub One | Dawex - Data Exchange Technology | MiTrust | Orange Business | Prometheus-X #dataintermediation #PSID

Comment et pourquoi limiter l’impact des lois extra-territoriales 🇨🇳 🇺🇸 👉Au total 18 sociétés œuvrant dans 13 pays européens ont fermement critiqué la dernière version d’#EUCS supprimant le critère de sécurité juridique. 👉Celui-ci obligeait les fournisseurs étrangers de créer une co-entreprise ou à coopérer avec une entreprise européenne s’ils veulent obtenir le niveau le plus élevé du schéma. Ils demandent donc la réintégration de cette clause pour limiter l’impact des lois extra-territoriales notamment le #CloudAct et le #FISA américains, mais également la réglementation chinoise.