Le règlement DORA (Digital Operational Resilience Act — EU 2022/2554) est entré en application le 17 janvier 2025. Après une période de montée en charge, 2026 marque le début des premiers contrôles de conformité sérieux par les autorités compétentes. Si votre organisation opère dans le secteur financier européen, voici ce que vous devez maîtriser.
Qui est concerné ?
DORA s'applique à un périmètre large :
- Banques, établissements de paiement, compagnies d'assurance
- Plateformes de crypto-actifs sous MiCA
- Sociétés de gestion, CGPI, PSI
- Fournisseurs tiers de services TIC critiques (cloud, SaaS, infogérance)
Ce dernier point est structurant : même une PME non-financière peut être soumise à DORA si elle fournit des services TIC à une entité régulée.
Les 5 piliers de conformité
1. Gestion des risques TIC (Art. 5-16)
Mise en place d'un cadre formel de gestion des risques numériques : identification des actifs critiques, évaluation des menaces, traitement et surveillance continue.
2. Gestion et notification des incidents (Art. 17-23)
Classification des incidents selon leur criticité. Les incidents majeurs doivent être notifiés à l'autorité compétente (ACPR, AMF) dans des délais stricts :
- Notification initiale : 4 heures après détection
- Rapport intermédiaire : 72 heures
- Rapport final : 1 mois
3. Tests de résilience opérationnelle (Art. 24-27)
Tests annuels obligatoires pour les entités significatives. Les entités d'importance systémique doivent réaliser des TLPT (Threat-Led Penetration Tests) tous les 3 ans, conduits par des testeurs certifiés.
4. Risque tiers et sous-traitance TIC (Art. 28-44)
Registre des contrats TIC obligatoire. Les contrats avec fournisseurs critiques doivent intégrer des clauses spécifiques : droit d'audit, niveaux de service, plans de sortie.
5. Partage d'informations (Art. 45)
Encouragement des entités à partager les renseignements sur les cybermenaces au sein de l'écosystème financier.
Où en sont les organisations en 2026 ?
Selon les retours des auditeurs, les lacunes les plus fréquentes sont :
- Cartographie des actifs TIC incomplète (souvent limitée au SI interne, oublie les SaaS utilisés par les métiers)
- Contrats fournisseurs non conformes (absence de clauses d'audit, de SLA formalisés)
- Tests de résilience insuffisants ou non documentés
Pour suivre l'évolution réglementaire et les outils de mise en conformité DORA, dora-finance.fr centralise les ressources pratiques : templates de registres, check-lists contractuelles et veille réglementaire.
Ce qui change avec les premières sanctions
Les autorités nationales disposent désormais de pouvoirs de sanction étendus. Pour les entités financières soumises à supervision directe BCE, des sanctions pouvant atteindre 1% du chiffre d'affaires quotidien pendant 6 mois sont possibles en cas de manquements graves.
La priorité pour les DSI en 2026 : finaliser le registre des prestataires TIC et s'assurer que les contrats en cours intègrent les clauses DORA avant tout renouvellement.
Cet article est à vocation informative. Pour un accompagnement dans votre démarche de conformité DORA, consultez un expert en cybersécurité ou un cabinet juridique spécialisé.
Top comments (0)