Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 13 Apprentissage et évolution

Summary What does Article 13 of the DORA regulation say?

This article deals with learning and continuous improvement as part of the ICT risk management framework established under Article 6.

It covers the full cycle of gathering intelligence on threats, conducting post-incident reviews, feeding lessons learned back into the risk assessment process, and maintaining ongoing monitoring of the digital operational resilience strategy.

It also addresses the human side of resilience, requiring mandatory ICT security training for all staff and continuous monitoring of technological developments by all but the smallest entities.

Important points:

  • Conduct post-incident reviews after any major ICT-related incident, assessing whether procedures were followed and actions were effective, and feed those findings back into the ICT risk management framework on a continuous basis.
  • Develop and implement mandatory ICT security awareness programmes and digital operational resilience training for all employees and senior management, with ICT third-party service providers included in training schemes where appropriate.
  • Senior ICT staff are required to report to the management body at least yearly on lessons learned from testing and real-life incidents, and put forward recommendations.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Les entités financières disposent de capacités et d’effectifs pour recueillir des informations sur les vulnérabilités et les cybermenaces, et sur les incidents liés aux TIC, en particulier les cyberattaques, et analyser leurs incidences probables sur leur résilience opérationnelle numérique.

    1. Les entités financières réalisent des examens post-incident lié aux TIC après qu’un incident majeur lié aux TIC a perturbé leurs activités principales, afin d’analyser les causes de la perturbation et de déterminer les améliorations à apporter aux opérations de TIC ou dans le cadre de la politique de continuité des activités de TIC visée à l’article 11.

    2. Les entités financières, autres que les microentreprises, communiquent, sur demande, aux autorités compétentes les changements qui ont été apportés à la suite des examens post-incident lié aux TIC visés au premier alinéa.

    3. Les examens post-incident lié aux TIC visés au premier alinéa consistent à déterminer si les procédures établies ont été suivies et si les mesures prises ont été efficaces, notamment en ce qui concerne:

      1. la célérité de la réponse aux alertes de sécurité et de l’évaluation des effets associés aux incidents liés aux TIC et de leur gravité;

      2. la qualité et la rapidité de l’analyse technico-légale, le cas échéant;

      3. l’efficacité de la remontée des incidents au sein de l’entité financière;

      4. l’efficacité de la communication interne et externe.

    1. Les enseignements tirés des tests de résilience opérationnelle numérique effectués conformément aux articles 26 et 27 et des incidents liés aux TIC en situation réelle, en particulier les cyberattaques, ainsi que les difficultés rencontrées lors de l’activation des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC, de même que les informations pertinentes échangées avec les contreparties et évaluées lors des contrôles prudentiels, sont dûment intégrés, de manière continue, dans le processus d’évaluation du risque lié aux TIC. Ces constatations permettent d’effectuer un examen approprié des composantes pertinentes du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1.

    1. Les entités financières contrôlent l’efficacité de la mise en œuvre de leur stratégie de résilience opérationnelle numérique définie à l’article 6, paragraphe 8. Elles retracent l’évolution du risque lié aux TIC dans le temps, analysent la fréquence, les types, l’ampleur et l’évolution des incidents liés aux TIC, en particulier les cyberattaques et leurs caractéristiques, afin de cerner le niveau d’exposition au risque lié aux TIC, en particulier en ce qui concerne les fonctions critiques ou importantes, et de renforcer la maturité et la préparation des TIC de l’entité financière.

    1. Les membres de l’encadrement supérieur responsables des TIC rendent compte au moins une fois par an, à l’organe de direction, des constatations visées au paragraphe 3 et formulent des recommandations.

    1. Les entités financières élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et aux membres de la direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les entités financières incluent également les prestataires tiers de services TIC dans leurs programmes de formation pertinents conformément à l’article 30, paragraphe 2, point i).

    1. Les entités financières, autres que les microentreprises, assurent un suivi continu des évolutions technologiques pertinentes, notamment en vue de déterminer l’incidence que le déploiement de ces nouvelles technologies pourrait avoir sur les exigences en matière de sécurité des TIC et la résilience opérationnelle numérique. Elles se tiennent informées des processus de gestion du risque lié aux TIC les plus récents, afin de lutter efficacement contre les formes actuelles ou émergentes de cyberattaques.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod