Considérations pour les entités financières européennes : les entités financières doivent établir un cadre de gouvernance et de contrôle interne pour la gestion des risques liés aux TIC, et assurer leur surveillance en continu. Ces exigences de gestion et de surveillance des risques liés aux TIC s'étendent à l'utilisation de services TIC assurés par des fournisseurs tiers.

Considérations pour les fournisseurs de TIC : les fournisseurs de TIC doivent être en mesure de prendre en charge la gestion et la surveillance des risques TIC des clients, y compris lorsque les systèmes et les processus concernés sont gérés par le fournisseur. En outre, dans le cas des fournisseurs de TIC essentiels, le nouveau superviseur principal évaluera les processus de gestion des risques propres au fournisseur, y compris les règles de gestion des risques liés aux TIC, la stratégie de continuité des opérations des TIC, ainsi que les plans de réponse aux incidents et de reprise après sinistre des TIC. 

Assistance Google Cloud : même sans avoir souscrit une offre Google Cloud, vous pouvez utiliser notre solution d'évaluation des risques et de découverte des actifs critiques pour évaluer le niveau de risque informatique actuel de votre organisation, identifier l'emplacement des actifs critiques, et recevoir des recommandations visant à améliorer votre stratégie de sécurité et votre résilience. Nous avons également publié des conseils sur la gestion des risques à l'aide de contrôles et de la gestion de vos actifs. 

Une fois sur Google Cloud, vous pouvez exploiter plusieurs outils pour mapper et gérer vos ressources cloud de manière continue. Par exemple, Google Cloud Operations, Resource Manager, Cloud Deployment Manager et Risk Manager. Des informations sur l'approche de Google en matière de gestion des risques sont disponibles dans les certifications et rapports d'audit de Google. 

Si vous avez besoin d'une aide supplémentaire, Mandiant (qui fait désormais partie de Google Cloud) propose des services de gestion des risques tels que le Service des opérations de gestion des cyberrisques, le Service de sécurité de modélisation des menaces, le Service de diligence raisonnable en cybersécurité et une évaluation du programme de cybersécurité.

Considérations pour les entités financières européennes : DORA regroupe dans un cadre unique optimisé les exigences de signalement d'incidents, qui incombent au secteur financier. Cela signifie que les entités financières opérant dans plusieurs secteurs ou États membres de l'UE ne devraient plus avoir à gérer différents régimes de création de rapports, qui se chevauchent les uns les autres, dans un contexte d'incident qui présente forcément un caractère d'urgence. 

DORA clarifie également les régimes de création de rapports d'incidents s'appliquant de manière parallèle, tels que ceux induits par la NIS2. L'ensemble de ces changements aide les organismes de réglementation à obtenir les informations dont ils ont besoin, tout en permettant aux entités financières de se concentrer sur d'autres aspects critiques de la réponse aux incidents. Les entités financières doivent signaler les incidents suivant des seuils définis, en respectant des modèles et des échéances spécifiques (dont la définition détaillée reste à finaliser). Elles doivent également mettre en œuvre des procédures permettant de documenter les origines des incidents et les améliorations qui ont été implémentées suite à ceux-ci. 

Considérations pour les fournisseurs de TIC : les fournisseurs de TIC doivent être en mesure de répondre aux exigences des clients concernant le signalement des incidents. En outre, dans le cas des fournisseurs de TIC essentiels, le nouveau superviseur principal évalue directement les processus du fournisseur en matière d'identification, de surveillance et de signalement des incidents matériels liés aux TIC auprès des entités financières. 

Assistance Google Cloud : à partir de 2025, Google informera ses clients des nouvelles conditions contractuelles de DORA concernant les incidents liés aux TIC qui affectent leur utilisation de Google Cloud. Nous vous enverrons ces notifications sans frais supplémentaires via nos canaux de notification existants (qui comprennent les e-mails, le tableau de bord Service Health et le Centre d'assistance Google Cloud). 

Bien que ces exigences continuent d'évoluer, nous nous engageons à vous tenir informés dans les délais opportuns et à vous fournir les informations dont les entités financières ont besoin pour mettre en place leur propre système d'évaluation et de création de rapports, qui soit conforme aux exigences finales.

Considérations pour les entités financières européennes : s'appuyant sur des initiatives existantes de l'UE telles que le cadre TIBER-EU, DORA établit une nouvelle approche des tests de la résilience opérationnelle numérique à l'échelle de l'UE. Pour certaines entités financières, cela inclut des tests avancés de pénétration des menaces (TLPT) tous les trois ans. En clarifiant la méthodologie de test et en introduisant la reconnaissance mutuelle des résultats des tests, DORA aide les entités financières à poursuivre le développement et l'évolution de leurs capacités de test, selon une méthodologie adaptée à l'ensemble de l'UE.  

Considérations pour les fournisseurs de TIC : DORA traite directement le rôle du fournisseur de TIC dans les TLPT effectués par les entités financières. DORA permet, entre autres, d'effectuer des tests communs pour gérer l'impact des tests sur les services mutualisés tels que les clouds publics. En outre, dans le cas des fournisseurs de TIC essentiels, le nouveau superviseur principal évalue directement les tests des systèmes, des infrastructures et des contrôles des TIC réalisés par le fournisseur lui-même. 

Assistance Google Cloud : à partir de 2025, Google participera aux TLPT en facilitant les tests communs par un testeur externe, comme décrit dans l'article 26(4) de la réglementation DORA. Nous sommes convaincus que les tests communs sont le meilleur moyen de tester efficacement la résilience opérationnelle numérique de Google Cloud tout en gérant les risques inhérents aux tests dans un environnement mutualisé pour les autres clients.

Considérations pour les entités financières européennes : DORA s'appuie sur les bases solides établies par les consignes d'externalisation des différentes autorités de contrôle européennes en coordonnant davantage la gestion des risques liés aux TIC tiers dans différents secteurs, y compris les exigences concernant la mise en œuvre d'un cadre de gestion des risques des TIC tiers s'appliquant aux contrats avec les fournisseurs de TIC. En veillant à ce que des risques similaires soient traités de manière cohérente dans les différents secteurs et États membres de l'UE, DORA permet aux entités financières de consolider et d'améliorer leurs programmes de gestion des risques liés aux TIC tiers.

Considérations pour les fournisseurs de TIC : les fournisseurs de TIC doivent être en mesure de répondre aux exigences des clients concernant la gestion des risques liés à des tiers. En outre, DORA permet au nouveau superviseur principal de contrôler directement les fournisseurs de TIC essentiels. Ce mécanisme crée un canal de communication directe entre les organismes de réglementation et les fournisseurs de TIC désignés via des engagements annuels, incluant des plans de surveillance, des inspections et des recommandations. 

Assistance Google Cloud : depuis février 2024, Google propose aux entités financières les conditions contractuelles mises à jour de Google Cloud et Google Workspace, afin de satisfaire aux principales dispositions contractuelles de l'article 30. Si vous avez besoin de consulter les conditions contractuelles de la réglementation DORA, veuillez contacter votre représentant Google Cloud pour en savoir plus. Nous avons également établi des tableaux de correspondance avec l'article 30, aussi bien pour Google Cloud que pour Google Workspace, afin de vous aider à comprendre comment nos contrats, contrôles et processus peuvent vous aider à répondre aux exigences de la réglementation DORA.

Considérations pour les entités financières européennes : DORA décrit les éléments que doivent prendre en compte les entités financières pour partager volontairement des informations et des renseignements sur les cybermenaces avec d'autres entités financières et organismes de réglementation. 

Considérations pour les fournisseurs de TIC : DORA vise à ce que les fournisseurs de TIC soient impliqués dans des accords de partage d'informations qui protègent les informations potentiellement sensibles. Ces modalités restent cependant à définir.  

Assistance Google Cloud : Google Cloud propose des produits et services pour aider les clients à se protéger de manière proactive contre les cybermenaces, conformément aux exigences de la réglementation DORA. Nous publions un rapport trimestriel Threat Horizons fournissant des informations stratégiques sur les menaces qui pèsent sur nos clients. Pour se prémunir contre les cyberincidents et s'y préparer, les clients peuvent également utiliser les services de réponse aux incidents, de gestion des cyberrisques et d'assurance technique de Mandiant.

DORA est un nouveau règlement de l'UE. Il s'appliquera à l'ensemble du secteur des services financiers dans tous les États membres de l'UE. La réglementation DORA actualise les règles existantes et définit un ensemble étendu d'exigences communes, visant à atténuer les risques liés aux TIC et à améliorer la résilience numérique au sein du système financier européen. Il est important de noter que DORA introduit également un nouveau cadre de supervision directe des fournisseurs de TIC essentiels par les organismes de réglementation financière de l'UE.

La réglementation DORA instaure un ensemble étendu d'exigences communes pour les entités financières de l'UE afin de réduire les risques liés aux TIC et d'améliorer la résilience numérique au sein du système financier européen. En particulier :

1. La réglementation DORA stipule des exigences détaillées applicables aux entités financières, concernant la gestion des risques liés aux TIC.

2. La réglementation DORA regroupe les exigences du secteur financier concernant le signalement d'incidents dans un cadre unique optimisé.

3. S'appuyant sur des initiatives existantes de l'UE telles que le cadre TIBER-EU, DORA établit une nouvelle approche des tests de la résilience opérationnelle numérique à l'échelle de l'UE, y compris des tests de pénétration des menaces.

4. DORA s'appuie sur les bases solides établies par les consignes d'externalisation des différentes autorités de contrôle européennes en coordonnant davantage la gestion des risques liés aux TIC tiers dans différents secteurs, y compris les exigences contractuelles avec les fournisseurs de TIC.

DORA permettra également aux organismes de réglementation financière de superviser directement les fournisseurs de TIC essentiels. Ce mécanisme crée un canal de communication directe entre les organismes de réglementation et les fournisseurs de TIC désignés via des engagements annuels, incluant des plans de surveillance, des inspections et des recommandations.

La réglementation DORA s'applique en premier lieu aux entités financières de l'UE. Cependant, une partie de la réglementation DORA s'applique directement aux fournisseurs de TIC (y compris les fournisseurs de services cloud) désignés comme "essentiels" par les organismes de réglementation financière de l'UE selon un processus officiel. Cette désignation repose sur un certain nombre de facteurs, y compris l'impact systémique d'une défaillance des services du fournisseur de TIC et l'importance systémique des entités financières qui dépendent de ces services.

La réglementation DORA entrera en vigueur le 17 janvier 2025 (deux ans et 20 jours après sa publication au Journal officiel de l'UE). 

La réglementation DORA s'applique directement aux fournisseurs de TIC essentiels, dès lors qu'ils ont été désignés comme "essentiels" par les organismes de réglementation financière de l'UE. Par conséquent, la date limite de mise en conformité des fournisseurs de TIC essentiels dépend de leur date de désignation respective. Bien que DORA ne s'applique pas directement à Google Cloud, en l'absence de désignation officielle comme fournisseur "essentiel", nous nous préparons déjà à satisfaire aux exigences directes potentielles s'y rapportant.

Nous collaborons avec les législateurs au sujet de la réglementation DORA depuis qu'elle a été proposée en septembre 2020. En parallèle, nous avons mis en place un programme de préparation afin d'analyser les attentes potentielles des clients et nos propres responsabilités à mesure que DORA évoluait au fil du processus législatif. 

Maintenant que le texte de la réglementation DORA est finalisé, une équipe pluridisciplinaire de Google Cloud (qui comprend des experts des services Gestion des risques et de la conformité, Sécurité, Juridique, Secteur public et Produit) l'examine en détail, et prépare et met en œuvre des plans de conformité si nécessaire. Ces plans s'appuient sur des bases solides dans des domaines tels que la sécurité, la résilience et la gestion des risques liés aux tiers, qui permettent déjà à nos clients de répondre aux attentes rigoureuses énoncées par les Orientations relatives à l'externalisation de l'Autorité bancaire européenne, les Consignes de l'AEAPP relatives à la sous-traitance cloud, et les Directives de l'autorité européenne des marchés financiers (ESMA) sur l'externalisation du cloud.

La période d'implémentation nous servira à étendre davantage nos capacités dans chacun des domaines clés de la réglementation DORA. Notre objectif est d'imposer Google Cloud comme le meilleur service possible pour une transformation numérique durable des entreprises européennes, selon leurs conditions.

Bien que le texte de la réglementation DORA ait été finalisé, plusieurs exigences importantes doivent encore être précisées dans la législation secondaire, appelée "Règles DORA de niveau 2". Il s'agit par exemple des normes techniques de réglementation, ou "RTS", dans des domaines clés tels que le signalement d'incidents, les tests de pénétration des menaces et la sous-traitance. 

Nous sommes conscients que les exigences finales des règles de niveau 2 devront être satisfaites le cas échéant. Toutefois, comme les versions préliminaires des règles de niveau 2 sont susceptibles d'être modifiées, il n'est pas possible de les préempter. 

Pour accompagner les législateurs et ses clients, Google Cloud participe activement aux débats politiques de l'UE sur les règles DORA de niveau 2. Nous continuerons à participer aux échanges concernant la réglementation DORA de manière transparente et constructive. En particulier, nous encourageons les principes suivants :

une cohérence entre toutes les règles de niveau 2 et le décret énoncé dans la réglementation DORA ;

une harmonisation du processus de maturation au niveau du secteur financier mondial et des autres régimes européens parallèles (par exemple, en ce qui concerne le signalement d'incidents) ;

la proportionnalité, en particulier lorsque des approches réglementaires adaptées à certains services de TIC peuvent avoir des conséquences inattendues et négatives sur la résilience du secteur financier si elles sont appliquées aux services de cloud public.

Le cadre de supervision des fournisseurs de TIC essentiels prévu par la réglementation DORA constitue une réelle occasion d'améliorer la compréhension, la transparence et la confiance entre les fournisseurs de TIC, les entités financières et les organismes de réglementation financière et, en définitive, de stimuler l'innovation dans le secteur financier européen. DORA créera un canal de communication directe entre les organismes de réglementation et les fournisseurs de TIC désignés via des échanges annuels, comprenant des plans de surveillance, des inspections et des recommandations. Nous sommes convaincus que ce dialogue structuré contribuera à améliorer la gestion des risques et la résilience dans l'ensemble du secteur.

Google Cloud s'engage à permettre aux organismes de réglementation de superviser efficacement l'utilisation de nos services par une entité financière. Nous accordons des droits d'accès, d'audit et d'information aux entités financières, à leurs organismes de réglementation et à leurs représentants, et nous aidons nos clients lorsque ces derniers ou leurs organismes de réglementation décident d'exercer ces droits. Nous ferions preuve du même engagement continu en matière de transparence, de collaboration et d'assurance dans le contexte d'une relation de subordination à un superviseur principal. 

Nous mettons tout en œuvre pour que notre fonction de supervision directe contribue efficacement à une bonne communication avec l'organisme de réglementation, à l'efficacité des audits et à la résolution des problèmes dans les délais impartis. Bien que nous soyons particulièrement mobilisés sur la planification des exigences directes, l'application dans la pratique de la supervision réglementaire doit encore être finalisée dans les normes techniques de réglementation relatives à la supervision.

Depuis février 2024, Google propose aux entités financières les conditions contractuelles mises à jour de Google Cloud et Google Workspace, afin de satisfaire aux principales dispositions contractuelles de l'article 30. Si vous avez besoin de consulter les conditions contractuelles de la réglementation DORA, veuillez contacter votre représentant Google Cloud pour en savoir plus. 

Nous avons également établi des tableaux de correspondance avec l'article 30, aussi bien pour Google Cloud que pour Google Workspace, afin de vous aider à comprendre comment nos contrats, contrôles et processus peuvent vous aider à répondre aux exigences de la réglementation DORA.

Nous collaborons au développement de règles pour le secteur des services financiers, qui ont des répercussions considérables sur Google Cloud et sur l'utilisation de nos services par nos clients à l'échelle mondiale. 

Lorsque les législateurs envisagent une approche semblable à DORA, ils réfléchissent souvent d'abord à la façon dont cette approche s'intègre au cadre réglementaire local existant, y compris les axes d'amélioration envisagés. La Commission européenne a effectué une consultation sur cette question en 2020 avant de proposer le projet de réglementation DORA initial. 

Lorsque les législateurs confirment la nécessité d'adopter une approche réglementaire différente (et potentiellement directe), nous nous engageons à partager notre expertise technologique vis-à-vis des services cloud et à promouvoir sans cesse les principes suivants :

une harmonisation et un dédoublement des exigences (à la fois au sein des pays et entre les pays)

des exigences proportionnées et adaptées à l'objectif

une approche technologiquement neutre qui favorise l'innovation ;

- une approche qui respecte la sécurité et l'intégrité de nos services pour tous nos clients.

Le Royaume-Uni est un exemple de ces pays qui envisagent actuellement d'établir un cadre réglementaire direct pour les fournisseurs tiers essentiels du secteur financier. Nous collaborons sur la base du document de consultation conformément aux principes ci-dessus. 

Il est important de garder à l'esprit que la réglementation DORA n'est pas la seule réglementation applicable aux fournisseurs de services cloud en Europe. La directive NISD2 introduira également une exigence de supervision, sans cibler de secteur particulier, pour les fournisseurs tiers essentiels, et de nombreuses exigences nationales s'appliquent aux services cloud dans les secteurs réglementés. 

L'adoption du cloud dans les services financiers reste récente, et les réglementations à venir doivent favoriser ce type d'innovation. Les pays adopteront des approches différentes pour assurer la sécurité et la résilience opérationnelle de l'écosystème des services financiers. La supervision directe n'est pas la seule solution à même d'apporter une réponse aux différents marchés. Nous sommes conscients que les organismes de réglementation d'autres juridictions accordent tout autant d'importance aux normes, aux règles horizontales et aux pratiques d'autorégulation. Quelle que soit l'approche adoptée par les organismes de réglementation, il est important d'assurer la cohérence réglementaire et l'harmonisation des principes appliqués à tous les niveaux, car ils ont un impact sur les acteurs technologiques mondiaux et l'écosystème financier numérique transfrontalier.