Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 5 Gouvernance et organisation
Summary What does Article 5 of the DORA regulation say?
This key foundational article sets the main objective of the regulation, to have in place an internal governance and control framework regarding ICT risk, and that the management body of the financial entity is responsible for this.
It goes on to detail various responsibilities of the management body: oversight, regular reviews and approval of policies, keeping its knowledge up to date, and the setting up of appropriate roles and reporting channels.
The article also connects directly to Article 6, which establishes the ICT risk management framework that the management body is tasked with overseeing here.
Important points:
- Implement an internal governance and control framework for ICT risk.
- All responsibility for this stems from the management body, which bears ultimate accountability for ICT risk management.
- Financial entities other than microenterprises must establish a dedicated role or designate a senior management member to oversee arrangements with ICT third-party service providers.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, conformément à l’article 6, paragraphe 4, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.
L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1.
Aux fins du premier alinéa, l’organe de direction:
assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière;
met en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données;
définit clairement les rôles et les responsabilités pour toutes les fonctions liées aux TIC et met en place des dispositifs de gouvernance appropriés pour assurer une communication, une coopération et une coordination efficaces et en temps utile entre ces fonctions;
assume la responsabilité globale de la définition et de l’approbation de la stratégie de résilience opérationnelle numérique visée à l’article 6, paragraphe 8, y compris la détermination du niveau approprié de tolérance au risque lié aux TIC de l’entité financière, tel que visé à l’article 6, paragraphe 8, point b);
approuve, supervise et examine périodiquement la mise en œuvre de la politique de continuité des activités de TIC de l’entité financière et des plans de réponse et de rétablissement des TIC visés, respectivement, à l’article 11, paragraphes 1 et 3, qui peuvent être adoptés en tant que politique spécifique faisant partie intégrante de la politique globale de continuité des activités et du plan de réponse et de rétablissement de l’entité financière;
approuve et examine périodiquement les plans internes d’audit des TIC et les audits des TIC de l’entité financière ainsi que les modifications significatives qui y sont apportées;
alloue et réexamine périodiquement le budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique visés à l’article 13, paragraphe 6, et les compétences en matière de TIC pour l’ensemble du personnel;
approuve et examine périodiquement la politique de l’entité financière concernant les modalités d’utilisation des services TIC fournis par des prestataires tiers de services TIC;
met en place, au niveau de l’entreprise, des canaux de notification lui permettant d’être dûment informé des éléments suivants:
des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC;
de tout changement significatif pertinent prévu concernant les prestataires tiers de services TIC;
des incidences potentielles de ces changements sur les fonctions critiques ou importantes faisant l’objet de ces accords, notamment un résumé de l’analyse des risques visant à évaluer les incidences de ces changements, et au minimum des incidents majeurs liés aux TIC et de leur incidence, ainsi que des mesures de réponse, de rétablissement et de correction.
Les entités financières, autres que les microentreprises, instituent un rôle de suivi des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC, ou désignent un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente.
Les membres de l’organe de direction de l’entité financière maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière, notamment en suivant régulièrement une formation spécifique proportionnée au risque lié aux TIC géré.
Relevant recitals
Considérant 38 Complex governance arrangements for non-micro financial entities
Étant donné que les grandes entités financières pourraient disposer de ressources plus importantes et être en mesure de mobiliser rapidement des fonds pour développer des structures de gouvernance et établir diverses stratégies d’entreprise, seules les entités financières qui ne sont pas des microentreprises au sens du présent règlement devraient être tenues de mettre en place des dispositifs de gouvernance plus complexes. Ces entités sont notamment mieux armées pour mettre en place des fonctions de gestion dédiées à la surveillance des accords avec les prestataires tiers de services TIC ou à la gestion des crises, pour organiser leur gestion du risque lié aux TIC selon le modèle reposant sur trois lignes de défense, ou pour établir un modèle de gestion des risques et de contrôle internes, et pour soumettre leur cadre de gestion du risque lié aux TIC aux audits internes.
Considérant 45 Management bodies' role in ICT risk management
Pour garantir une concordance complète et une cohérence globale entre les stratégies d’entreprise des entités financières, d’une part, et la mise en œuvre de la gestion du risque lié aux TIC, d’autre part, les organes de direction des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle numérique. L’approche adoptée par les organes de direction devrait non seulement être axée sur les moyens de garantir la résilience des systèmes de TIC, mais également couvrir les personnes et les processus au travers d’un ensemble de politiques qui suscitent, à chaque niveau de l’entreprise et auprès de l’ensemble du personnel, une prise de conscience aiguë des cyberrisques et un engagement à respecter une hygiène informatique rigoureuse à tous les niveaux. La responsabilité ultime de l’organe de direction dans la gestion du risque lié aux TIC d’une entité financière devrait constituer un principe fondamental de cette approche globale, concrétisé par l’engagement continu de l’organe de direction dans le contrôle du suivi de la gestion du risque lié aux TIC.
Considérant 46 Management body's responsibility for ICT-related investments
De plus, le principe de la responsabilité entière et ultime de l’organe de direction en ce qui concerne la gestion du risque lié aux TIC de l’entité financière va de pair avec la nécessité de mobiliser des investissements liés aux TIC et un budget global pour l’entité financière qui lui permettraient d’atteindre un niveau élevé en matière de résilience opérationnelle numérique.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
référentiel central
(En. trade repository)
Definition
plate-forme de négociation
(En. trading venue)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
dépositaire central de titres
(En. central securities depository)
Definition
organe de direction
(En. management body)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
contrepartie centrale
(En. central counterparty)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
microentreprise
(En. microenterprise)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)