Situer le règlement DORA dans le paysage réglementaire financier

Présenter le contexte du Digital Operational Resilience Act et ses objectifs
Comprendre les liens entre DORA, NIS2, le RGPD et les autres textes applicables au secteur financier
Identifier les catégories d’entités financières concernées et les prestataires TIC critiques
Analyser les enjeux de résilience opérationnelle numérique pour les acteurs financiers
Atelier fil rouge : cartographier rapidement les textes clés s’appliquant à son organisme et situer DORA dans cet ensemble

Comprendre le périmètre, les principes et les exigences clés de DORA

Identifier les domaines couverts par DORA : gestion des risques TIC, incidents, tests de résilience, risques liés aux tiers, information sharing
Clarifier les obligations de gouvernance : rôle des organes de direction, intégration du risque TIC dans la gestion globale des risques
Comprendre les notions de résilience opérationnelle numérique et de tolérance aux perturbations
Repérer les grandes différences de logique entre une directive (NIS2) et un règlement directement applicable (DORA)
Atelier fil rouge : à partir d’un résumé des exigences, relier chaque domaine DORA à des pratiques existantes ou à créer

Organiser la gestion des risques TIC, des incidents et des tests de résilience

Structurer un cadre de gestion des risques TIC conforme à DORA : identification, évaluation, traitement et suivi
Mettre en place des processus de gestion et de notification des incidents TIC significatifs
Comprendre les exigences en matière de tests de résilience (tests techniques, scénarios, tests avancés pour certaines entités)
Intégrer les enseignements des incidents et des tests dans l’amélioration continue du dispositif de sécurité et de résilience
Atelier fil rouge : esquisser un cycle de gestion des incidents et des tests de résilience conforme à l’esprit de DORA

Prendre en compte les risques liés aux prestataires TIC et à la chaîne de valeur

Identifier les prestataires TIC critiques et les dépendances clés pour la continuité des services financiers
Analyser les exigences DORA en matière de contrats, de supervision et de gestion du risque de tiers
Prévoir des mécanismes de suivi, de reporting et, le cas échéant, de sortie ou de substitution de prestataires
Articuler les exigences DORA avec les pratiques existantes de gestion des fournisseurs et des sous-traitants
Atelier fil rouge : dresser une première liste de prestataires TIC critiques et identifier les actions prioritaires de mise en conformité

Élaborer un premier plan d’actions de mise en conformité DORA

Réaliser un état des lieux simplifié de la maturité de l’organisation par rapport aux exigences DORA
Identifier les écarts majeurs : gouvernance, gestion des risques TIC, gestion des incidents, tests, tiers, documentation
Définir les grands chantiers de mise en conformité et les responsabilités associées
Structurer un plan d’actions priorisé et un calendrier indicatif de mise en œuvre
Atelier fil rouge final : formaliser une feuille de route DORA synthétique à présenter à la direction risques / conformité / DSI