DORA Articles 19, 28 et 30 : Pourquoi un SMSI ne suffit plus pour les entités financières
DORA exige une communication opérationnelle avec les clients pendant les incidents, un registre à jour des prestataires TIC et une surveillance continue. Un SMSI seul ne peut pas répondre à ces exigences.
DORA Articles 19, 28 et 30 : Pourquoi un SMSI ne suffit plus pour les entités financières
Le règlement DORA s'applique directement à la quasi-totalité des entités financières de l'UE depuis le 17 janvier 2025. Il introduit des exigences qu'un SMSI traditionnel ne peut pas satisfaire — en particulier concernant la communication avec les clients et la surveillance continue des prestataires de services TIC.
Ce qu'un SMSI couvre — et ce qu'il ne couvre pas
Un SMSI aligné sur ISO 27001 assure la gouvernance : politiques, registres des risques, contrôles, audits annuels. DORA s'appuie sur cette base — les articles 5 et 6 exigent un cadre documenté de gestion des risques TIC sous la responsabilité de l'organe de direction. Un SMSI peut y répondre.
Mais DORA va significativement plus loin dans trois domaines :
1. Article 19(3) : Les clients doivent être informés sans retard injustifié
DORA n'introduit pas seulement des délais de signalement aux autorités de supervision (24 heures pour la notification initiale, 72 heures ensuite pour le rapport de suivi, puis 1 mois après le rapport de suivi pour le rapport final). L'article 19(3) exige en outre :
« Lorsqu'un incident majeur lié aux TIC survient et a un impact sur les intérêts financiers des clients, les entités financières doivent, sans retard injustifié dès qu'elles en ont connaissance, informer leurs clients. »
C'est nouveau : la communication ne circule pas seulement verticalement vers l'autorité, mais horizontalement vers les partenaires commerciaux. Un SMSI documente les incidents en interne — il ne fournit aucun canal pour une communication structurée en temps réel avec les clients.
2. Article 28(3) : Le registre d'informations doit être à jour
Les entités financières doivent maintenir et mettre à jour un registre complet de tous les prestataires tiers de services TIC — pas comme un exercice ponctuel, mais de manière continue. Les autorités de supervision telles que la BaFin peuvent demander ce registre à tout moment.
Un SMSI contient généralement une liste de fournisseurs. Mais un registre au sens de DORA exige des données structurées et actuelles sur le périmètre contractuel, les localisations, les sous-traitants et la criticité — idéalement dans un format pouvant être alimenté automatiquement.
3. Article 30(3)(e) : Surveillance continue — pas des audits annuels
DORA exige dans les contrats avec les prestataires critiques de services TIC « le droit de surveiller en permanence la performance du prestataire tiers de services TIC ». En même temps, le règlement fait référence à des mécanismes tels que « les droits d'accès, d'inspection et d'audit » et « les inspections sur site ».
C'est là que réside l'écart : DORA exige une surveillance continue mais présuppose des instruments issus du monde des audits annuels. Aucune entité financière ne peut réaliser des inspections trimestrielles sur site de 30 prestataires de services TIC. Ce que « continu » signifie opérationnellement doit être résolu autrement : avec des tableaux de bord, des mises à jour automatisées des statuts et des flux de données structurés.
La solution : SMSI pour la gouvernance, Trust Center pour les opérations
DORA sépare implicitement deux mondes : le contrôle interne et la communication externe. Un SMSI couvre le premier. Pour le second — communication avec les clients pendant les incidents, surveillance continue des prestataires, registre d'informations à jour — un système opérationnel est nécessaire.
Un Trust Center comble exactement cet écart : il rend la posture de sécurité visible, permet une communication proactive et fournit des données structurées que les clients peuvent directement intégrer dans leurs propres registres d'informations.
Sources :
Lectures connexes
Questions fréquentes
Quels sont les délais de signalement des incidents DORA pour les entités financières ?
DORA exige une notification initiale dans les 24 heures suivant la détection, un rapport de suivi dans les 72 heures après la notification initiale, puis un rapport final dans le délai d'un mois après le rapport de suivi.
Que requiert l'article 19(3) de DORA pour la communication avec les clients ?
L'article 19(3) exige des entités financières qu'elles informent les clients sans retard injustifié lorsqu'un incident majeur lié aux TIC affecte leurs intérêts financiers, rendant la communication horizontale vers les partenaires commerciaux obligatoire en plus du signalement vertical aux autorités.
Qu'est-ce que le registre d'informations DORA au titre de l'article 28 ?
L'article 28(3) exige des entités financières qu'elles maintiennent et mettent à jour en continu un registre structuré de tous les prestataires tiers de services TIC, incluant le périmètre contractuel, les localisations, les sous-traitants et les évaluations de criticité, disponible à tout moment pour l'examen des autorités de supervision.
En quoi l'article 30 de DORA diffère-t-il des audits annuels ?
L'article 30(3)(e) exige une surveillance continue de la performance des prestataires critiques de services TIC, allant au-delà des cycles d'audit annuels traditionnels. Cela nécessite des outils opérationnels comme des tableaux de bord, des mises à jour automatisées des statuts et des flux de données structurés.
Quelle est la différence entre DORA et NIS2 ?
DORA s'applique spécifiquement aux entités financières de l'UE et se concentre sur la résilience opérationnelle numérique, incluant les registres de prestataires TIC et la notification aux clients. NIS2 est une directive transversale couvrant les entités essentielles et importantes dans 18 secteurs avec des exigences plus larges de gestion des risques de cybersécurité.