Anaelle Guez
Co-fondatrice & CEO, Conformité
Suivi des échéances DORA : dates clés et actions à mener en 2026
DORA est pleinement applicable depuis le 17 janvier 2025. Mais 2026 est l'année où l'application mord, avec des échéances critiques pour les registres de risques ICT et la supervision des tiers.
À qui DORA s'applique-t-il ?
DORA s'applique à pratiquement toutes les entités financières de l'UE : banques, assureurs, sociétés d'investissement, établissements de paiement, prestataires crypto. Il s'applique aussi aux prestataires ICT tiers jugés critiques, c'est-à-dire les fournisseurs cloud, SaaS et sociétés IT servant les institutions financières.
22,000+
Entités concernées
5
Piliers
€10M+
Sanctions max.
2026
Application pleine
Soumission du registre de risques tiers ICT
Les entités financières doivent compléter et soumettre leurs registres de risques tiers ICT aux autorités compétentes, incluant la cartographie des prestataires ICT critiques et l'évaluation des risques de concentration.
Tests de pénétration avancés (TLPT)
Les entités d'importance systémique doivent mener leurs premiers tests de pénétration guidés par les menaces (TLPT) selon l'article 26 de DORA, réalisés par des testeurs externes qualifiés.
Publication du registre des fournisseurs ICT critiques
Les AES publieront le registre des prestataires ICT tiers critiques, déclenchant des pouvoirs de supervision directe et des sanctions potentielles.
Revue annuelle de gestion des risques ICT
Premier cycle de revue annuelle des cadres de gestion des risques ICT. Les entités doivent documenter les leçons des incidents, mettre à jour les évaluations et démontrer une amélioration continue.
Les cinq piliers de DORA
Cadre de gestion des risques ICT : gouvernance, politiques et procédures
Reporting d'incidents ICT : classification, notification et analyse post-incident
Tests de résilience opérationnelle numérique : basiques et avancés (TLPT)
Gestion des risques tiers ICT : due diligence, garanties contractuelles, risque de concentration
Partage d'informations : échanges volontaires de renseignements sur les cybermenaces
Comment Cleo aide à la conformité DORA
Cleo surveille tous les développements réglementaires liés à DORA en temps réel, des standards techniques des AES aux orientations des autorités nationales. Quand de nouvelles exigences sont publiées, Cleo génère des alertes contextuelles avec scores de risque et actions recommandées.
Questions fréquentes
Qu'est-ce que DORA et quand est-il applicable ?
DORA (Digital Operational Resilience Act, Règlement UE 2022/2554) est pleinement applicable depuis le 17 janvier 2025. Il exige de toutes les entités financières de l'UE, banques, assureurs, sociétés d'investissement, prestataires de paiement, crypto-actifs et leurs fournisseurs ICT critiques, d'implémenter des cadres de gestion des risques ICT, reporting d'incidents, tests de résilience et supervision des tiers.
Quelles sont les échéances DORA clés en 2026 ?
Échéances DORA clés en 2026 : (T1) complétion du registre de risques tiers ICT et soumission aux autorités, (T2) premiers tests de pénétration avancés (TLPT) pour les entités systémiques, (T3) publication du registre des fournisseurs ICT critiques par les AES, (T4) premier cycle annuel de revue de gestion des risques ICT.
Ressources associées
Guides
Guide de conformité DORAEssayez Cleo : scan de risque réglementaire gratuit
Visualisez votre paysage réglementaire en minutes. Sans inscription, sans CB.
