Article 4 Principe de proportionnalité

Summary What does Article 4 of the DORA regulation say?

This article establishes the proportionality principle as it applies throughout DORA.

It makes clear that financial entities are not expected to apply the regulation's requirements in a one-size-fits-all manner; instead, compliance must be calibrated to each entity's size, risk profile, and the nature and complexity of its operations.

This principle runs across the ICT risk management rules in Chapter II, as well as the requirements in Chapters III, IV, and the first section of Chapter V.

Competent authorities are also brought into the picture, as they must factor in proportionality when reviewing an entity's ICT risk management framework.

Important points:

Implement the rules of Chapters II, III, IV, and V, Section I in a manner proportionate to your size, overall risk profile, and the nature, scale, and complexity of your services, activities, and operations.
Competent authorities are required to consider the proportionality principle when reviewing the consistency of a financial entity's ICT risk management framework.
This article acts as a cross-cutting interpretive lens for how obligations throughout the regulation should be applied.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les entités financières mettent en œuvre les règles énoncées au chapitre II conformément au principe de proportionnalité, en tenant compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations.
1. En outre, l’application par les entités financières des chapitres III et IV et du chapitre V, section I, est proportionnée à leur taille et à leur profil de risque global, ainsi qu’à la nature, à l’ampleur et à la complexité de leurs services, activités et opérations, comme le prévoient expressément les règles pertinentes desdits chapitres.
1. Les autorités compétentes tiennent compte de l’application du principe de proportionnalité par les entités financières lorsqu’elles examinent la cohérence du cadre de gestion du risque lié aux TIC sur la base des rapports présentés à la demande des autorités compétentes conformément à l’article 6, paragraphe 5, et à l’article 16, paragraphe 2.

Relevant recitals

Considérant 21 Baseline requirements with proportional application and supervision

Afin de conserver la maîtrise totale du risque lié aux TIC, les entités financières doivent disposer de capacités globales permettant une gestion solide et efficace du risque lié aux TIC, ainsi que de mécanismes et de politiques spécifiques pour le traitement de tous les incidents liés aux TIC et pour la notification des incidents majeurs liés aux TIC. De même, les entités financières devraient disposer de politiques pour le test des systèmes de TIC, contrôles des TIC et processus des TIC, ainsi que pour la gestion des risques liés aux prestataires tiers de services TIC. Le niveau de référence en matière de résilience opérationnelle numérique des entités financières devrait être relevé tout en permettant également une application proportionnée des exigences à certaines entités financières, en particulier les microentreprises, ainsi que les entités financières soumises à un cadre de gestion du risque lié aux TIC simplifié. Pour favoriser une surveillance efficace des institutions de retraite professionnelle qui soit proportionnée et réponde au besoin de réduire les charges administratives pesant sur les autorités compétentes, les dispositions nationales pertinentes en matière de surveillance applicables à ces entités financières devraient tenir compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations, même lorsque les seuils pertinents fixés à l’article 5 de la directive (UE) 2016/2341 du Parlement européen et du Conseil(¹⁰) sont dépassés. En particulier, les activités de surveillance devraient porter essentiellement sur la nécessité de faire face aux risques graves associés à la gestion du risque lié aux TIC d’une entité donnée.

Les autorités compétentes devraient également maintenir une approche vigilante, mais proportionnée, en ce qui concerne la surveillance des institutions de retraite professionnelle qui, conformément à l’article 31 de la directive (UE) 2016/2341, externalisent une partie importante de leurs activités de base, telles que la gestion d’actifs, les calculs actuariels, la comptabilité et la gestion de données, à des prestataires de services.

Considérant 36 Proportionality principle

Nonobstant la large couverture prévue par le présent règlement, l’application des règles en matière de résilience opérationnelle numérique devrait tenir compte des différences notables entre les entités financières du point de vue de leur taille et de leur profil de risque global. En règle générale, lorsqu’elles répartissent des ressources et des capacités aux fins de la mise en œuvre du cadre de gestion du risque lié aux TIC, les entités financières devraient assurer un juste équilibre entre leurs besoins liés aux TIC et leur taille et leur profil de risque global, ainsi que la nature, l’ampleur et la complexité de leurs services, activités et opérations, tandis que les autorités compétentes devraient poursuivre l’évaluation et le réexamen de l’approche suivie pour cette répartition.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.