Les réglementations européennes seront de plus en plus nombreuses et contraignantes pour assurer la résilience des infrastructures IT à l’image de celle de Dora pour Digital Operational Resilience Act. Cette dernière, une réglementation applicable dès janvier 2025, aura pour mission de renforcer la résilience opérationnelle IT des acteurs du secteur financier, les banques et les assurances notamment, y compris les prestataires de services TIC qui opèrent au sein de l’Union européenne dans ces services financiers. Au total, près de 22 000 organisations seraient concernées. Initié par la Commission européenne en 2020, ce règlement Dora vise donc à garantir le fonctionnement de l’entreprise même en cas d’attaque ou d’incident Cyber. Pour ce faire, les institutions financières concernées devront mettre en place une série de mesures et les documenter. Les exigences de Dora se portent surtout sur chaque aspect de la cybersécurité, y compris la surveillance des cybermenaces et le signalement des cyberattaques mais aussi sur les exigences en matière de sauvegarde. De même, Dora exige que les institutions financières tiennent un registre décrivant les arrangements contractuels avec les fournisseurs informatiques et qu’elles incluent des dispositions spécifiques dans les contrats avec ces derniers.

Vers un empilement de lois et règlements

A la loi Dora vient bien sûr s’ajouter à la directive NIS2 qui vise à renforcer les mesures de résilience cyber des acteurs nationaux jugés essentiels dans un grand nombre de secteurs critiques définis (énergie, transport, santé, administration publique, etc.). Quant à la directive RCE (Résilience des Entités Critiques), très similaire à NIS2, elle met en avant la nécessité d'une stratégie nationale visant à améliorer la résilience des entités critiques fournissant des services étatiques essentiels. S’ajoute enfin la loi CRA (Cyber Resilience Act) qui permet d’assurer une plus grande résilience des produits matériels et logiciels. Cette loi va ainsi imposer des obligations de sécurité aux fabricants mais aussi aux importateurs et distributeurs pour commercialiser ces produits connectés. Pour résumer, la loi demande déjà plus de Security by design, c’est-à-dire de prendre en compte la sécurité dès la conception du produit et qu’aucune faille de sécurité connue soit détectée au moment de la livraison. Ensuite, la documentation technique évaluant les cyber risques doit être plus rigoureuse. Enfin, il y aura une obligation de fournir pendant 5 ans des mises à jour du produit pour corriger d’éventuelles failles. Enfin, tout incident devra par ailleurs être notifié à l’Enisa (European Union Agency for Cybersecurity). Aujourd’hui, nous ne connaissons pas encore le calendrier de la mise en œuvre de la lo CRA et sa transposition dans chaque pays européen.