31ème réunion du Groupe de Place sur la Résilience Opérationnelle Numérique
Le 7 mars 2024, lors du Groupe de Place sur la Résilience Opérationnelle Numérique, Novaminds a partagé son analyse de la première vague de RTS et ITS venant préciser le règlement européen DORA.
Les questions suivantes ont été partagées avec les établissements financiers :
- Quelles actions pour l'élaboration d'un registre d'information opérationnel ? (ITS - register of information in relation to all contractual arrangements on the use of ICT services provided by ICT third-party service providers) ;
- Quelle classification des incidents au regard du règlement DORA ? (RTS - Classification of major incidents and significant cyber threats) ;
- Quelles précisions relatives au pilier 1 ? (RTS - ICT Risk Management Framework and on simplified ICT Risk Management Framework) ;
- Quelle politique pour l'usage des services TIC fournis par des tiers prestataires et supportant des fonctions critiques / importantes ? (RTS to specify the policy on ICT services supporting critical or important functions).
Concernant l’ITS relatif au registre d’information, celui-ci structure le contenu et les règles de collecte d’information, avec 90 points de données qualitatives, avec un niveau fin de granularité. Ce qui pose 2 défis majeurs :
- L’usage du LEI (ou méthode alternative) pour identifier chaque prestataire, afin de permettre une consolidation cross-établissements pour faire émerger les prestataires critiques de la Place.
- La description / modélisation de la chaîne de sous-traitance, qui débute par le prestataire de rang 1 puis certains prestataires de rangs 2 à n selon un filtre qualitatif sur l’impact d’une défaillance sur la fonction délivrée ; une analyse interne de ces risques est à mener par l’établissement. Sur ce point un RTS de la vague 2 apporte des précisions.
Concernant le reporting des incidents qui est obligatoire, un RTS de la vague 2 viendra apporter des précisions sur ce reporting. Toute intrusion dans un SI est considérée et qualifiée d’incident ‘majeur’. Les destinataires de ces reporting varient selon que l’établissement est d’importance systémique (BCE), ou non (Autorité Compétente).
A cette occasion, les 20 établissements financiers représentés ont partagé leurs premières analyses des textes et plus largement, leurs retours d’expérience de la mise en conformité avec DORA.
La prochaine réunion permettra de poursuivre ce tour d’horizon de cette première vague des RTS / ITS et de la consultation au titre de la vague 2.
Un grand merci à tous les participants pour la richesse des échanges !