Règlement (UE) 2022/2554 (DORA) : Normes Techniques pour Registres Distribués
Évaluation de Conformité : Cette note technique analyse l'application du Règlement sur la Résilience Opérationnelle Numérique (DORA) sous le Règlement (UE) 2022/2554, en ciblant spécifiquement la sécurité opérationnelle des architectures DLT, les transitions d'état des smart contracts et les dépendances d'infrastructure tierce. Elle définit les checkpoints d'audit obligatoires pour les institutions financières de l'EEE.
I. Classification des Risques Consensus et Nœuds
Les nœuds DLT déployés au sein d'infrastructures de règlement interbancaire ou de marché sont qualifiés d'infrastructures ICT critiques au sens de l'Article 6. Les émetteurs et CASPs doivent maintenir un plan d'isolement strict :
- Intégrité du Réseau : Les validateurs doivent isoler les canaux de transmission pour éviter l'exposition aux attaques par déni de service. Ce cadre fonctionne en parfaite coordination avec les réserves de stablecoins imposées par MiCA.
- Redondance Géographique : Les infrastructures de validation doivent être distribuées géographiquement afin d'éviter qu'un incident réseau localisé ne compromette le consensus.
Tout code de smart contract gérant des titres financiers (comme ceux décrits dans nos spécifications TFIN ID) doit faire l'objet d'une vérification formelle mathématique avant déploiement. L'absence de journalisation des anomalies constitue un écart de conformité majeur sous DORA.
II. Tests de Pénétration Avancés (TLPT)
En vertu de l'Article 26, les entités financières d'importance systémique sont tenues de réaliser des tests de pénétration basés sur les menaces (Threat-Led Penetration Testing ou TLPT) tous les trois ans. Ce périmètre doit intégrer les couches applicatives on-chain et les protocoles d'oracle.