« Contrairement à d’autres secteurs qui doivent eux aussi se conformer à NIS2, celui des services financiers est déjà habitué aux réglementations strictes. Ces organisations ont déjà travaillé sur leurs stratégies de résilience des données et de cybersécurité. Même si elles doivent se conformer à un cadre réglementaire supplémentaire avec la loi DORA, l’écart entre leur situation actuelle et celle qu’elles doivent atteindre devrait être gérable, du moins en ce qui concerne leurs opérations internes.

« C’est une tout autre histoire quand il s’agit des fournisseurs de services tiers et de la chaîne d’approvisionnement au sens large. Peu importe l’avance prise en interne si l’entreprise ne peut pas garantir la conformité de ses partenaires concernés : il sera difficile de démontrer sa propre conformité, ce qui entraînera des amendes potentielles ou d’autres répercussions négatives.

« A minima, les organisations doivent s’assurer que les tiers mettent en œuvre des processus de gestion des risques efficaces. Pour cela, elles doivent exiger la renégociation de tous les accords de niveau de service (SLA) conclus avec des tiers afin de faire de la conformité à la loi DORA une condition préalable essentielle au travail. Si cette exigence prend effectivement du temps, les entreprises ne peuvent pas se permettre de sous-estimer l’importance de la mise en conformité des tiers ».