Réponse GRC
Comment fonctionne le signalement des incidents TIC au titre de DORA ?
Réponse directe
DORA impose aux entités financières de détecter, gérer, classifier et signaler les incidents liés aux TIC. Les incidents majeurs doivent être signalés à l’autorité compétente — en France, l’AMF ou l’ACPR — par étapes : une notification initiale, puis un rapport intermédiaire au fil de l’évolution, et un rapport final une fois la cause racine établie. La classification de ce qui constitue un incident « majeur » repose sur des critères fixés par le règlement et ses normes techniques, couvrant notamment le nombre de clients affectés, la durée, l’étendue géographique, les pertes de données et l’impact économique. Les entités peuvent également signaler volontairement des cybermenaces significatives. Avant de signaler, vous classifiez. DORA et ses normes techniques définissent les seuils qui séparent un incident majeur d’un incident courant. Une classification correcte détermine si le délai de signalement s’applique. DORA structure le signalement en trois étapes : notification initiale dans les 4 heures suivant la classification comme majeur, et au plus tard 24 heures après la prise de connaissance ; rapport intermédiaire dans les 72 heures ; rapport final avec analyse des causes dans le mois. Ces délais sont fixés par le RTS 2025/301, avec les modèles de rapport dans l’ITS 2025/302, en vertu de l’article 19 de DORA.
Questions connexes