What is DORA (Digital Operational Resilience Act)?

DORA (Regulation EU 2022/2554) is the EU's framework for managing ICT risks in the financial sector. It requires over 22,000 financial entities, including banks, insurers, payment providers, investment firms, and crypto-asset service providers, to implement ICT risk management, incident reporting, resilience testing, and third-party risk oversight. Fully applicable since January 17, 2025.

Who must comply with DORA?

DORA applies to 21 categories of financial entities including credit institutions, payment institutions, investment firms, insurance companies, crypto-asset service providers (MiCA), central securities depositories, trading venues, and their critical ICT third-party service providers.

What are the five pillars of DORA?

The five pillars are: (1) ICT Risk Management, a comprehensive framework with management body responsibility; (2) ICT Incident Reporting, mandatory classification and notification to authorities; (3) Digital Operational Resilience Testing, including Threat-Led Penetration Testing (TLPT); (4) ICT Third-Party Risk Management, due diligence, contractual requirements, concentration risk monitoring; (5) Information Sharing, voluntary cyber threat intelligence exchange.

What are the penalties for DORA non-compliance?

National authorities can impose periodic penalty payments of up to 1% of average daily global turnover per day of non-compliance, for up to six months. For Critical ICT Third-Party Providers, the ESAs can impose fines up to €5 million (or €500,000 for individuals).

Ressources/DORA

Guide de conformité DORA 2026

Le Digital Operational Resilience Act (DORA, Règlement 2022/2554) est le cadre de l'UE pour la gestion des risques TIC dans le secteur financier. Il est pleinement applicable depuis le 17 janvier 2025. Ce guide couvre les cinq piliers de DORA et ce que les entités financières doivent faire pour se conformer.

Qu'est-ce que DORA ?

DORA établit un cadre réglementaire unifié pour la résilience opérationnelle numérique dans le secteur financier de l'UE. Il s'applique à plus de 22 000 entités financières et prestataires de services TIC tiers, notamment les banques, les compagnies d'assurance, les entreprises d'investissement, les établissements de paiement, les prestataires de services sur crypto-actifs et leurs fournisseurs technologiques critiques.

Contrairement aux réglementations précédentes qui traitaient le risque TIC de manière fragmentée, DORA crée une approche globale et harmonisée pour garantir que les entités financières puissent résister, répondre et se remettre des perturbations liées aux TIC et des cybermenaces.

Les cinq piliers de DORA

1. Gestion des risques TIC (Articles 5-16)

Les entités financières doivent établir un cadre complet de gestion des risques TIC : identification des risques, mesures de protection, capacités de détection, procédures de réponse et de reprise, et apprentissage continu. L'organe de direction porte la responsabilité ultime et doit recevoir une formation régulière sur les risques TIC.

2. Signalement des incidents TIC (Articles 17-23)

Classification et signalement obligatoires des incidents majeurs liés aux TIC aux autorités compétentes. Les entités doivent maintenir un processus de gestion des incidents, classifier les incidents selon des critères définis (clients affectés, perte de données, étendue géographique, durée) et soumettre des rapports initiaux, intermédiaires et finaux dans les délais prescrits.

3. Tests de résilience opérationnelle numérique (Articles 24-27)

Tests réguliers des systèmes TIC : évaluations de vulnérabilité, tests de pénétration, sécurité réseau et tests basés sur des scénarios. Les entités financières significatives doivent mener des tests de pénétration fondés sur la menace (TLPT) au moins tous les trois ans, suivant le cadre TIBER-EU.

4. Gestion des risques liés aux tiers TIC (Articles 28-44)

Diligence raisonnable sur les prestataires de services TIC, exigences contractuelles (localisation des données, droits d'audit, stratégies de sortie) et surveillance du risque de concentration. Les autorités européennes de surveillance (AES) superviseront directement les prestataires tiers TIC critiques (CTPPs) désignés par le comité conjoint.

5. Partage d'informations (Article 45)

Échange volontaire de renseignements sur les cybermenaces entre entités financières au sein de communautés de confiance. Les entités doivent notifier les autorités compétentes de leur participation à des dispositifs de partage d'informations.

Qui doit se conformer à DORA ?

DORA s'applique à 21 catégories d'entités financières, notamment :

Établissements de crédit (banques)

Établissements de paiement

Entreprises d'investissement

Compagnies d'assurance et de réassurance

Prestataires de services sur crypto-actifs (MiCA)

Dépositaires centraux de titres

Plateformes de négociation et fournisseurs de données

Sociétés de gestion (OPCVM/FIA)

Prestataires de services de financement participatif

Prestataires de services TIC tiers

Dates clés et calendrier

16 janvier 2023

DORA est entré en vigueur

17 janvier 2025

Date de pleine application. Toutes les exigences sont applicables

Avril 2025

Premier lot de normes techniques de réglementation (RTS) adopté par les AES

S2 2025

Désignation des premiers prestataires tiers TIC critiques (CTPPs)

2026

Activités de supervision en cours, premiers cycles TLPT pour les entités significatives

Sanctions en cas de non-conformité

Les autorités nationales compétentes peuvent imposer des sanctions administratives et des mesures correctives, y compris des astreintes pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen pour chaque jour de non-conformité, pour une durée maximale de six mois. Pour les prestataires tiers TIC critiques, les AES peuvent imposer des amendes pouvant atteindre €5 millions (ou €500 000 pour les personnes physiques).

Comment Cleo aide à la conformité DORA

Cleo Labs surveille en continu les évolutions réglementaires liées à DORA dans tous les États membres de l'UE et les trois autorités européennes de surveillance (ABE, AEMF, AEAPP). La plateforme suit les normes techniques de réglementation (RTS), les normes techniques d'exécution (ITS) et les orientations de supervision à mesure de leur publication.

Pour les entités financières, Cleo cartographie vos prestataires tiers TIC par rapport aux obligations DORA, surveille les signaux de risque de concentration et génère des rapports de conformité prêts pour l'audit avec des scores de risque et une traçabilité des sources, réduisant la diligence raisonnable sur les tiers de 5 jours à moins de 2 heures.

Cartographiez vos obligations DORA automatiquement

Entrez votre domaine et Cleo identifie les exigences applicables en quelques minutes.

Scanner votre entreprise