Art. 49 Exercices, communication et coopération entre secteurs financiers | DORA regulation | DORA

This article sits within the broader supervisory cooperation framework of DORA and focuses on cross-sector coordination and information sharing among the key regulatory and supervisory bodies.

It empowers the ESAs, acting through the Joint Committee and alongside a wide range of partners including competent authorities, the ECB, ENISA, and resolution authorities, to establish shared practices and run crisis simulation exercises aimed at building a coordinated Union-level response to systemic cyber threats.

The article also places a firm obligation on competent authorities, ESAs, and the ECB to cooperate closely and exchange information in carrying out their duties under the regulation's supervisory chapters.

Important points:

The ESAs may establish cross-sector information-sharing mechanisms and develop crisis management exercises involving cyber-attack scenarios, including testing dependencies on other economic sectors.
These exercises are oriented toward enabling a coordinated response at Union level in the event of a major cross-border ICT-related incident with systemic impact.
Competent authorities, ESAs, and the ECB are required to cooperate closely, exchange information, coordinate supervision, and provide cross-jurisdictional assessments in the event of disagreements.

1. Les AES, agissant par l’intermédiaire du comité mixte et en collaboration avec les autorités compétentes, les autorités de résolution visées à l’article 3 de la directive 2014/59/UE, la BCE, le Conseil de résolution unique en ce qui concerne les informations relatives aux entités relevant du champ d’application du règlement (UE) n^o 806/2014, le CERS et l’ENISA, le cas échéant, peuvent mettre en place des mécanismes qui permettent le partage de pratiques efficaces entre les secteurs financiers afin d’améliorer la perception de chaque situation et de détecter les cybervulnérabilités et les cyberrisques communs aux différents secteurs.
2. Elles peuvent mettre au point des exercices de gestion de crise et d’urgence reposant sur des scénarios de cyberattaques, en vue de développer les canaux de communication et de favoriser la mise en place progressive d’une réponse efficace et coordonnée au niveau de l’Union, en cas d’incident transfrontière majeur lié aux TIC ou de menace connexe ayant une incidence systémique sur l’ensemble du secteur financier de l’Union.
3. Ces exercices peuvent aussi, le cas échéant, tester les relations de dépendance du secteur financier vis-à-vis d’autres secteurs économiques.
1. Les autorités compétentes, les AES et la BCE coopèrent étroitement entre elles et échangent des informations afin de s’acquitter de leurs missions conformément aux articles 47 à 54. Elles coordonnent étroitement leurs activités de surveillance afin d’identifier les infractions au présent règlement et d’y remédier, de mettre au point et de promouvoir des bonnes pratiques, de faciliter la coopération, de renforcer la cohérence des interprétations et de fournir des avis interjuridictionnels en cas de désaccord.