Digital Operational Resilience Act (DORA) Rapport de conformité
LeDigital Operational Resilience Act (DORA) est un règlement édicté par l'Union européenne pour renforcer la résilience opérationnelle numérique du secteur financier.
Digital Operational Resilience Act (DORA) But
L'objectif principal deDORA est de veiller à ce que les entités financières etICT (technologies de l'information et de la communication) les fournisseurs de services tiers peuvent résister, réagir et se remettre de tous les types deICT -perturbations et menaces liées à l’environnement.
Conformité requise par
Les organisations doivent se conformer aux lois nationales mettant en œuvreDORA d'ici le 17 janvier 2025.
Pour plus d'informations sur leDigital Operational Resilience Act (DORA), visitez le Règlement - 2022/2554 - FR -DORA - EUR-Lex
Pour plus d'informations sur la sécurisation des applications Web, visitez HCLAppScan :Tests avancés de sécurité des applications
Articles du règlement
| ID | Nom |
|---|---|
| Article 7, Section a | Afin de traiter et de gérerICT risque, les entités financières doivent utiliser et maintenir à jourICT des systèmes, des protocoles et des outils adaptés à l’ampleur des opérations soutenant la conduite de leurs activités, conformément au principe de proportionnalité visé à l’article 4. |
| Article 9, Section 1 | Aux fins de protéger adéquatementICT systèmes et en vue d'organiser les mesures de réponse, les entités financières doivent surveiller et contrôler en permanence la sécurité et le fonctionnement desICT systèmes et outils et minimiser l'impact deICT risque surICT systèmes grâce au déploiement de mesures appropriéesICT outils, politiques et procédures de sécurité. |
| Article 9, Section 2 | Les entités financières doivent concevoir, acquérir et mettre en œuvreICT politiques, procédures, protocoles et outils de sécurité qui visent à assurer la résilience, la continuité et la disponibilité desICT systèmes, en particulier ceux qui soutiennent des fonctions critiques ou importantes, et de maintenir des normes élevées de disponibilité, d'authenticité, d'intégrité et de confidentialité des données, qu'elles soient au repos, en cours d'utilisation ou en transit. |
| Article 9, Section 3.a | Afin d'atteindre les objectifs visés au paragraphe 2, les entités financières utilisentICT des solutions et des procédés appropriés conformément à l’article 4. CeuxICT les solutions et les processus doivent garantir la sécurité des moyens de transfert des données. |
| Article 9, Section 3.b | Afin d'atteindre les objectifs visés au paragraphe 2, les entités financières utilisentICT des solutions et des procédés appropriés conformément à l’article 4. CeuxICT Les solutions et processus doivent minimiser le risque de corruption ou de perte de données, d’accès non autorisé et de défauts techniques susceptibles d’entraver l’activité commerciale. |
| Article 9, Section 3.c | Afin d'atteindre les objectifs visés au paragraphe 2, les entités financières utilisentICT des solutions et des procédés appropriés conformément à l’article 4. CeuxICT les solutions et les processus doivent prévenir le manque de disponibilité, l’altération de l’authenticité et de l’intégrité, les violations de la confidentialité et la perte de données. |
| Article 9, Section 4.c | Dans le cadre de laICT cadre de gestion des risques visé à l'article 6, paragraphe 1, les entités financières doivent mettre en œuvre des politiques qui limitent l'accès physique ou logique aux actifs d'information etICT limiter les actifs à ce qui est nécessaire aux fonctions et activités légitimes et approuvées uniquement, et établir à cette fin un ensemble de politiques, de procédures et de contrôles qui traitent des droits d’accès et assurent une bonne administration de ceux-ci. |
| Article 9, Section 4.d | Dans le cadre de laICT cadre de gestion des risques visé à l'article 6, paragraphe 1, les entités financières mettent en œuvre des politiques et des protocoles pour des mécanismes d'authentification forts, basés sur des normes pertinentes et des systèmes de contrôle dédiés, et des mesures de protection des clés cryptographiques par lesquelles les données sont cryptées sur la base des résultats d'une classification des données approuvée etICT processus d'évaluation des risques. |
| Article 9, Section 4.f | Dans le cadre de laICT cadre de gestion des risques visé à l’article 6(1), les entités financières doivent disposer de politiques documentées appropriées et complètes en matière de correctifs et de mises à jour. |