Le règlement DORA (Digital Operational Resilience Act) est le premier cadre européen unifiant la résilience opérationnelle numérique du secteur financier. Applicable depuis le 17 janvier 2025, il concerne plus de 22 000 entités financières en Europe et rend l'organe de direction juridiquement responsable de la gestion du risque numérique.
Un règlement d'application directe
DORA correspond au règlement (UE) 2022/2554 du 14 décembre 2022, complété par la directive (UE) 2022/2556. En tant que règlement, il s'applique uniformément dans tous les États membres, sans transposition nationale. En France, l'ACPR et l'AMF sont les autorités compétentes.
Un principe de proportionnalité s'applique : un cadre simplifié de gestion des risques est prévu (article 16) pour les microentreprises et les entités de plus petite taille.
Les cinq piliers
1. Gouvernance et gestion du risque TIC
Chaque entité doit disposer d'un cadre documenté de gestion des risques liés aux technologies de l'information et de la communication (TIC), validé et supervisé par l'organe de direction. La gouvernance du risque numérique n'est plus déléguée à la seule DSI.
2. Notification des incidents majeurs
Les incidents sont classés selon les critères du règlement délégué (UE) 2024/1772. Pour un incident majeur, la chaîne de notification à l'autorité compétente est stricte :
- notification initiale dans les 4 heures suivant la classification comme majeur, et au plus tard 24 heures après la détection ;
- rapport intermédiaire dans les 72 heures suivant la notification initiale ;
- rapport final dans le mois qui suit.
Les modalités sont précisées par le règlement délégué (UE) 2025/301 et le règlement d'exécution (UE) 2025/302. En France, les déclarations passent par le portail OneGate.
3. Tests de résilience opérationnelle
Toutes les entités réalisent des tests de base (évaluations de vulnérabilité, analyses réseau, tests de pénétration). Les entités désignées comme importantes doivent en outre conduire des tests de pénétration fondés sur la menace (TLPT), au moins tous les trois ans, inspirés du cadre TIBER-EU.
4. Gestion du risque lié aux prestataires tiers
C'est l'apport le plus contraignant. Chaque entité constitue et tient à jour un registre d'information recensant l'ensemble de ses contrats avec des prestataires de services TIC. Les contrats portant sur des fonctions critiques doivent comporter des clauses spécifiques (audit, sortie, localisation des données). Les prestataires tiers désignés comme critiques font l'objet d'une supervision européenne, avec un pouvoir d'astreinte pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen.
5. Partage d'informations
DORA encourage l'échange volontaire de renseignements sur les cybermenaces entre entités financières.
Calendrier et premières échéances
Depuis le 17 janvier 2025, l'ensemble des obligations sont applicables. La première remise du registre d'information est intervenue au printemps 2025. Les autorités ont consacré 2025 à l'accompagnement et aux premiers contrôles ciblés ; 2026 marque l'intensification des audits de conformité.
Points de vigilance
- Périmètre large : une panne de datacenter, une défaillance d'un prestataire cloud ou un dysfonctionnement logiciel critique peuvent déclencher une notification, même sans cyberattaque.
- Articulation avec NIS2 : DORA joue le rôle de lex specialis pour les entités financières.
- Double notification : un incident TIC impliquant une violation de données personnelles déclenche aussi l'obligation RGPD (notification à la CNIL sous 72 heures), avec des destinataires distincts.
Sources
- Règlement (UE) 2022/2554 (DORA) et directive (UE) 2022/2556.
- Règlements délégués (UE) 2024/1772 et 2025/301, règlement d'exécution (UE) 2025/302.
- ACPR (FAQ DORA, instruction n°2025-I-10) ; AMF (dossier DORA).