Conformité DORA

    1. Home  - 
    2. Conformité DORA

    Dans le secteur financier, votre solidité dépend aussi de celle des autres.

    C’est le postulat de DORA, et c’est ce qui le rend différent de tous les autres règlements. La conformité DORA part d’un postulat simple : dans le secteur financier, votre solidité dépend aussi de celle des autres.

    DORA ne s’adresse donc pas seulement à votre organisation. Il s’adresse à l’écosystème entier dans lequel vous évoluez : vos prestataires technologiques, vos sous-traitants, vos fournisseurs cloud, vos partenaires. Parce qu’une défaillance quelque part dans cette chaîne peut déstabiliser l’ensemble du secteur financier européen.

    Ce n’est pas une contrainte supplémentaire. C’est une reconnaissance : vous faites partie d’un système interdépendant, et votre résilience a une valeur collective.

    Les organisations qui comprennent ça cessent de voir DORA comme un fardeau réglementaire. Elles y voient ce qu’il est vraiment : un cadre pour construire une confiance durable avec leurs clients, leurs régulateurs, leurs partenaires.

    Conformité aux règlements et directives de l'Europe

    Ce que la conformité DORA exige concrètement

    DORA impose un cadre structuré autour de cinq piliers : la gestion du risque TIC, la gestion des incidents, les tests de résilience opérationnelle, la maîtrise du risque lié aux tiers, et le partage d’informations entre acteurs du secteur.

    Chacun de ces piliers renvoie à des pratiques précises, des obligations de documentation, et des responsabilités qui remontent jusqu’à la direction.

    Notre accompagnement

    Nous connaissons DORA en profondeur : ses exigences, sa logique, et ce qu’il implique concrètement pour des organisations de tailles et de maturités très différentes.
    Notre approche est la même que pour NIS2 :

    • Comprendre votre situation réelle avant de proposer quoi que ce soit;
    • Construire les fondations qui manquent ;
    • Vous accompagner pour que la conformité reste vivante, pas un document qui prend la poussière.


    Ce qui change avec DORA, c’est l’attention particulière que nous portons à vos relations avec les tiers. C’est souvent là que le risque est le plus mal maîtrisé, et c’est précisément là que DORA est le plus exigeant.

    Pour en savoir plus sur DORA :

    L’organisation générale de DORA

    En pratique, DORA emporte un certain nombre d’implications stratégiques, dans le but d’améliorer la résilience des entreprises qui y sont soumises et la diffusion d’éléments d’information soit aux Autorités Européennes de Surveillance (AES), soit aux entreprises du secteur.
    Il repose sur 5 axes majeurs :

    • Pilier 1 : Le dispositif de gestion des risques liés aux TIC ;
    • Pilier 2 : La gestion et le reporting des incidents TIC et des cybermenaces ;
    • Pilier 3 : Les tests de la résilience opérationnelle numérique ;
    • Pilier 4 : La gestion des risques liés aux prestataires de services TIC ;
    • Pilier 5 : Le partage d’informations en matière de cybersécurité.
    Les types d’entreprises concernés par DORA

    Le règlement DORA s’applique aux entités suivantes (cette liste est extraite de l’Article 2, « Champ d’application ») :

    • Les établissements de crédit ;
    • Les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
    • Les prestataires de services d’information sur les comptes ;
    • Les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
    • Les entreprises d’investissement ;
    • Certains prestataires de services sur crypto-actifs agréés et certains émetteurs de jetons se référant à un ou des actifs ;
    • Les dépositaires centraux de titres ;
    • Les contreparties centrales ;
    • Les plates-formes de négociation ;
    • Les référentiels centraux ;
    • Les gestionnaires de fonds d’investissement alternatifs ;
    • Les sociétés de gestion ;
    • Les prestataires de services de communication de données ;
    • Les entreprises d’assurance et de réassurance ;
    • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires
    • d’assurance à titre accessoire ;
    • Les institutions de retraite professionnelle ;
    • Les agences de notation de crédit ;
    • Les administrateurs d’indices de référence d’importance critique ;
    • Les prestataires de services de financement participatif ;
    • Les référentiels des titrisations ;
    • Les prestataires tiers de services TIC.
    Les entités financières exemptées de DORA

    Les entreprises exemptées de DORA incluent principalement :

    1. Petits gestionnaires de fonds d’investissement alternatifs ;
    2. Petites entreprises d’assurance et de réassurance selon la directive Solvabilité II (Directive 2009/138/CE) (voir ici, et particulièrement la section 2) ;
    3. Institutions de retraite avec moins de 15 affiliés ;
    4. Certaines personnes morales ou physiques exemptées sous la directive MiFID II (Directive 2014/65/UE) (voir ici) ;
    5. Microentreprises et PME intermédiaires d’assurance ou de réassurance ;
    6. Offices des chèques postaux définis dans la directive CRD IV (Directive 2013/36/UE) (voir ici) ;
    7. Certaines entités exclues par décision nationale en application de CRD IV.

    Cette liste précise garantit que seules les entités financières ayant un impact systémique ou critique sont soumises aux exigences du règlement DORA. Les exemptions visent à alléger la charge pour les plus petites structures.

    Quelques éléments « techniques »

    DORA est un acte législatif de l’Union européenne qui établit des règles directement applicables et obligatoires dans tous les États membres, sans besoin de transposition dans le droit national.
    En pratique, DORA s’applique donc directement et uniformément à toutes les entités financières et prestataires tiers critiques identifiés dans l’ensemble des États membres de l’UE.

    Dates d’application de DORA :

    • Entrée en vigueur : 16 janvier 2023, 20 jours après sa publication au Journal officiel de l’Union européenne.
    • Application obligatoire : 17 janvier 2025.

    DORA est le Règlement d’exécution (UE) 2022/2554. Vous pouvez trouver son texte ici.

    DORA et le Digital Omnibus Package

    La conformité DORA ne se construit pas en vase clos. Le Digital Omnibus Package, publié par la Commission européenne en novembre 2025, introduira (entre fin 2026 et 2027) deux évolutions directement pertinentes pour les entités financières soumises à DORA.

    • Le guichet unique de signalement des incidents (SEP). Aujourd’hui, un incident cyber dans une banque ou un assureur peut déclencher jusqu’à quatre notifications parallèles : au CSIRT national au titre de NIS2, à l’autorité de supervision financière au titre de DORA, à la CNIL au titre du RGPD, et potentiellement à un régulateur sectoriel — chacune avec ses délais, ses formulaires et ses seuils propres.
    • Le Single-Entry Point (SEP), géré par l’ENISA, permettant de notifier une seule fois pour satisfaire l’ensemble de ces obligations, avec un délai harmonisé à 96 heures. Ce guichet n’existe pas encore : il sera opérationnel 18 à 24 mois après l’adoption du Digital Omnibus Regulation, dont l’adoption est attendue entre fin 2026 et 2027.

    Par ailleurs, applicable au 2 aout 2026, le Digital Omnibus on AI précise la compétence des autorités de supervision dans le secteur financier pour les systèmes d’IA à haut risque. Les autorités nationales de supervision financière conservent leur compétence propre — ce qui signifie que les entités soumises à DORA devront articuler leurs obligations AI Act avec leur cadre DORA existant, sans doublon de supervision.

    Plus d’infos ?

    Vous souhaitez savoir où vous en êtes de votre conformité DORA ? Si nos services professionnels pourraient convenir à votre entreprise ?

    Prenez rendez-vous avec nos experts pour une consultation de sécurité sans engagement.

    Plus d’infos ? Des questions ? Contactez-nous !

    Partagez cette page via :