Art. 1 Objet | DORA regulation | DORA

1. Pour atteindre un niveau commun élevé de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, le présent règlement définit les exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information: la sécurité des réseaux et des systèmes d’information au sens de l’article 6, point 2), de la directive (UE) 2022/2555; sous-tendant les processus opérationnels des entités financières, comme suit:
  1. les exigences applicables aux entités financières en ce qui concerne:
    
    la gestion des risques liés aux technologies de l’information et de la communication (TIC);
    
    la notification, aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; aux autorités compétentes;
    
    la notification aux autorités compétentes, par les entités financières visées à l’article 2, paragraphe 1, points a) à d), des incidents opérationnels ou de sécurité majeurs liés au paiement;
    
    les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;;
    
    le partage d’informations et de renseignements en rapport avec les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les cybervulnérabilités;
    
    les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC;
  2. les exigences relatives aux accords contractuels conclus entre des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et des entités financières;
  3. les règles relatives à l’établissement du cadre de supervision applicable aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; lorsqu’ils fournissent des services à des entités financières, ainsi que celles liées à l’exercice des tâches dans ce cadre;
  4. les règles relatives à la coopération entre les autorités compétentes, et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.
1. S’agissant des entités financières identifiées en tant qu’entités essentielles ou importantes conformément aux dispositions nationales transposant l’article 3 de la directive (UE) 2022/2555, le présent règlement est considéré comme un acte juridique sectoriel de l’Union aux fins de l’article 4 de ladite directive.
1. Le présent règlement est sans préjudice de la responsabilité des États membres pour ce qui est des fonctions essentielles de l’État en matière de sécurité publique, de défense et de sécurité nationale conformément au droit de l’Union.