Implementação da DORA: A Regulamentação de TI Mais Rigorosa do Setor Financeiro Europeu

7 min de lecture

3.600 entreprises financières en Allemagne sont soumises à une nouvelle réglementation sans période de transition. Le Digital Operational Resilience Act (DORA) est entré en vigueur le 17 janvier 2025 et exige des banques, assureurs et gestionnaires d’actifs un niveau de résilience numérique que beaucoup doivent encore développer. Selon Advisori, 44 % des entreprises financières allemandes rencontrent des difficultés importantes de mise en œuvre. Les coûts d’implémentation pour les grands établissements s’élèvent à 25 à 150 millions d’euros selon McKinsey. La BaFin a annoncé qu’elle entamerait des contrôles systématiques en 2026. Pour le secteur financier allemand, DORA devient un test décisif : celui qui remplit les exigences démontre sa maturité numérique. Celui qui échoue risque non seulement des amendes, mais aussi la confiance du marché.

L’essentiel

  • 3.600 entreprises financières en Allemagne concernées : Sur 22.000 au niveau de l’UE. DORA s’applique depuis le 17 janvier 2025 sans période de transition. Aucune exception.
  • 25 à 150 millions d’euros de coûts d’implémentation : Pour les grands établissements. C’est 5 à 10 fois le budget initial du programme. 70 % s’attendent à des coûts d’exploitation durablement plus élevés (McKinsey).
  • 44 % rencontrent des difficultés importantes de mise en œuvre : Le niveau moyen d’application dans les entreprises financières allemandes atteint environ deux tiers des exigences (Advisori).
  • 19 fournisseurs externes TIC critiques sous supervision directe de l’UE : Parmi eux, Deutsche Telekom et SAP. Pour la première fois, les ESAs contrôlent directement les fournisseurs de cloud.
  • La BaFin lance des contrôles systématiques en 2026 : Date limite de déclaration au registre d’information du 9 au 30 mars 2026. La BAIT sera totalement abrogée au 31 décembre 2026.

Ce que DORA exige des entreprises financières

DORA repose sur cinq piliers qui forment ensemble un cadre complet de résilience opérationnelle numérique. Il ne suffit pas de mettre en œuvre des mesures isolées. La BaFin attend un système intégré.

Pilier 1 : Gestion des risques TIC. Un cadre complet couvrant l’identification des actifs, l’analyse des risques, les mesures de protection, la détection des menaces, la réponse aux incidents et la reprise après sinistre. Aucune entreprise financière ne peut plus fonctionner sans gestion documentée des risques TIC. Cela semble évident, mais en pratique, ce n’est pas le cas : de nombreux gestionnaires d’actifs et prestataires de services de paiement plus petits ont jusqu’ici travaillé avec des processus informels.

Pilier 2 : Gestion et déclaration des incidents. Obligation de déclarer les incidents TIC graves. Les délais s’inspirent de NIS2 mais sont spécifiques à DORA : alerte précoce, notification d’incident et rapport final. Toute entreprise sans processus de déclaration fonctionnel enfreint la loi dès le premier incident.

Pilier 3 : Tests de résilience opérationnelle numérique. Tests de charge réguliers et exercices basés sur des scénarios. Pour les établissements systémiques s’ajoutent les Threat-Led Penetration Testing (TLPT) : des attaques simulées par des équipes rouges externes reproduisant des scénarios de menaces réels. C’est un saut quantique par rapport aux tests de pénétration annuels précédents.

Pilier 4 : Gestion des risques liés aux tiers. Tous les contrats avec fournisseurs TIC externes doivent contenir des clauses conformes à DORA : SLA, droits d’audit, droits de résiliation, stratégies de sortie et obligations de notification d’incident. Pour une banque ayant des centaines de contrats informatiques, cela signifie une vérification complète et une renégociation de son portefeuille contractuel.

Pilier 5 : Partage d’informations sur les cybermenaces. Échange d’informations sur les menaces entre entreprises financières. Volontaire mais recommandé. La DCSO (portée par Allianz, BASF, Bayer, VW) est pionnière à cet égard, mais le secteur financier a besoin de ses propres formats.

22.000
Entreprises financières sous DORA
Jan 2025
DORA pleinement applicable
TLPT
Tests de pénétration obligatoires pour les banques

Sources : Règlement DORA UE 2022/2554, BaFin

3.600
Entreprises financières en Allemagne soumises à la réglementation DORA
Source : Association bancaire / BaFin, 2025

Ce que prévoit la BaFin pour 2026

Jens Obermoeller, chef du groupe Surveillance IT à la BaFin, a clairement indiqué la direction. Dans un entretien technique, il a formulé en substance : La concentration sur quelques fournisseurs d’un côté et une chaîne de valeur fragmentée de l’autre compliquent le contrôle des processus critiques. Un incident chez un prestataire informatique systémique peut déclencher un effet domino affectant l’ensemble du marché financier.

La BaFin a proposé en février 2026 des ateliers pour la deuxième série de déclarations au registre d’information. La date limite de déclaration s’étend du 9 au 30 mars 2026. Pour 2026 et 2027, la BaFin a annoncé des contrôles et des vérifications systématiques, en mettant l’accent sur la qualité et l’exhaustivité des registres d’information. C’est la transition de la phase de mise en œuvre à la phase d’application.

Particulièrement important pour le marché : La BAIT (Exigences prudentielles en matière d’IT), depuis 2017 le cadre réglementaire central pour les banques allemandes, sera totalement abrogée au 31 décembre 2026. DORA remplace la BAIT non seulement en substance mais aussi formellement. Pour les établissements qui se sont jusqu’ici appuyés sur la BAIT, le cadre réglementaire de référence change complètement. La conformité BAIT n’assure pas la conformité DORA, car DORA va nettement plus loin dans plusieurs domaines.

La question des coûts : 25 à 150 millions d’euros

L’analyse de McKinsey sur les coûts d’implémentation de DORA est accablante. Seuls les coûts de stratégie, de planification et d’orchestration s’élèvent à 5 à 15 millions d’euros selon les consultants. Les coûts totaux d’implémentation pour les grands établissements atteignent 25 à 150 millions d’euros, soit 5 à 10 fois le budget initial du programme. 70 % des répondants s’attendent à des coûts d’exploitation durablement plus élevés pour la technologie et le contrôle.

40 % des établissements financiers et fournisseurs TIC consacrent plus de sept postes à temps plein à leurs programmes de conformité DORA. Un tiers seulement était confiant dans le fait de remplir toutes les exigences d’ici la date butoir de janvier 2025. 50 % s’attendaient à une conformité complète d’ici fin 2025, 38 % seulement en 2026.

Pour les entreprises financières de taille moyenne (banques régionales, assureurs spécialisés, prestataires de paiement), Advisori estime le délai nécessaire à 6 à 12 mois pour une conformité substantielle et à 12 à 18 mois pour une conformité totale. Selon l’analyse, 44 % des entreprises financières allemandes rencontrent des difficultés importantes de mise en œuvre. Le niveau moyen d’application atteint environ deux tiers des exigences.

Les sanctions en cas de manquement sont sévères : jusqu’à 10 % du chiffre d’affaires annuel ou 10 millions d’euros pour les infractions graves. Des amendes pouvant atteindre un million d’euros menacent les dirigeants individuels. Cela fait de la conformité DORA une question de responsabilité personnelle au niveau de la direction.

25-150 Mio. EUR
Coûts d’implémentation DORA pour les grands établissements
Source : McKinsey, 2024/2025

19 fournisseurs externes critiques sous supervision directe de l’UE

Le 18 novembre 2025, les autorités de surveillance européennes (EBA, ESMA, EIOPA) ont publié pour la première fois une liste de 19 fournisseurs externes TIC critiques (CTPP). Pour la première fois dans l’histoire de la surveillance financière, les fournisseurs de cloud et les prestataires informatiques sont placés sous surveillance directe de l’UE.

La liste comprend notamment : Amazon Web Services, Microsoft, Google Cloud, IBM, Oracle, Accenture, Capgemini et NTT DATA. Deux entreprises allemandes figurent sur la liste : Deutsche Telekom AG et SAP SE. Les critères de désignation : impact systémique en cas de défaillance, importance des établissements financiers dépendants, risque de concentration et substituabilité.

Pour le secteur financier allemand, cela a deux conséquences : Premièrement, Deutsche Telekom et SAP, en tant que prestataires pour les banques et assureurs, seront directement contrôlés par les ESAs. Cela renforce les exigences en matière de gouvernance, de normes de sécurité et de déclaration d’incidents. Deuxièmement, les établissements financiers allemands utilisant ces fournisseurs doivent prouver leur propre surveillance des tiers. La surveillance de l’UE sur les CTPP ne remplace pas l’obligation des établissements de vérifier eux-mêmes.

AWS a confirmé la désignation sur son blog sécurité et s’est engagé à coopérer avec les autorités de surveillance. Les domaines contrôlés : déclaration d’incidents, sous-traitance, sécurité TIC et gouvernance.

DORA vs. NIS2 : Quand s’applique quoi ?

La question la plus fréquente en pratique : Les entreprises financières doivent-elles respecter à la fois DORA et NIS2 ? La réponse est plus claire que souvent présentée.

DORA est un règlement européen (directement applicable), NIS2 est une directive (doit être transposée au niveau national). Le principe de lex specialis s’applique : DORA prime sur NIS2 en matière de risques TIC dans le secteur financier. Les banques et établissements de crédit relèvent de DORA et non de NIS2. Les infrastructures de marché financier (places de négoce, contreparties centrales) également.

Les différences en détail : NIS2 recommande des évaluations de vulnérabilités, DORA impose des Threat-Led Penetration Testing (beaucoup plus exigeants). Pour les fournisseurs externes, DORA instaure une surveillance directe des CTPP, NIS2 exige uniquement une gestion des risques sans surveillance directe. Et tandis que NIS2 régule 18 secteurs transversaux, DORA se concentre exclusivement sur le secteur financier avec des exigences plus spécifiques et plus strictes.

Pour les entreprises exerçant à la fois des activités financières et exploitant des infrastructures critiques (par exemple une assurance exploitant ses propres centres de données), les deux réglementations peuvent s’appliquer. Dans ce cas : DORA pour les activités financières, NIS2 pour l’infrastructure.

La position contraire : Sur-réglementation du secteur financier ?

La critique de DORA est réelle et vient du secteur lui-même. Des coûts d’implémentation de 25 à 150 millions d’euros pour un texte réglementaire sans période de transition constituent un fardeau énorme, particulièrement pour les petits établissements. Les caisses d’épargne régionales et les banques coopératives, qui fonctionnaient bien avec la BAIT jusqu’ici, doivent maintenant respecter des normes européennes conçues pour les grandes banques mondiales.

S’ajoute le chevauchement : DORA, NIS2 et le règlement sur l’IA créent ensemble une densité réglementaire sans équivalent mondial. Pour un prestataire de services financiers prenant des décisions de crédit assistées par l’IA, les trois réglementations peuvent potentiellement s’appliquer simultanément. Les départements de conformité s’agrandissent, mais pas la création de valeur propre.

Et la surveillance des CTPP comporte un paradoxe : Si l’UE supervise directement les grands fournisseurs de cloud, cela pourrait entraîner une consolidation. Les fournisseurs de cloud plus petits, incapables de supporter la charge de surveillance, se retireraient du secteur financier. La dépendance aux grands acteurs augmenterait au lieu de diminuer.

Pourquoi DORA reste un avantage pour le lieu d’implantation

Le contre-argument plaide en faveur de DORA : Un seul incident cybernétique grave dans une banque allemande peut causer des pertes de plusieurs milliards, ébranler la confiance dans le centre financier et entraîner des conséquences réglementaires allant bien au-delà des amendes DORA.

Le centre financier de Francfort concurrence Londres, Paris et Amsterdam. Dans un contexte où les investisseurs internationaux évaluent la maturité en cybersécurité comme un critère de qualité, la conformité DORA devient un argument de localisation. Un centre financier qui démontre sa résilience attire plus de capitaux qu’un centre qui se contente d’affirmer sa résilience.

Et les établissements allemands ont un avantage de départ : L’expérience avec la BAIT depuis 2017 a créé un socle de conformité sur lequel DORA peut s’appuyer. Le Bankenverband souligne que les établissements financiers allemands sont considérés comme « pionniers dans les domaines de la sécurité et de la conformité ». DORA élève les exigences au niveau européen, mais l’Allemagne ne part pas de zéro.

Cinq étapes vers la conformité DORA

1. Construire et déclarer le registre d’information. La date limite de déclaration de la BaFin pour la deuxième soumission s’étend du 9 au 30 mars 2026. Le registre doit contenir tous les contrats avec fournisseurs TIC externes, incluant les SLA, l’évaluation de criticité et les stratégies de sortie. Celui qui a manqué la première série doit rattraper maintenant.

2. Formaliser le cadre de gestion des risques TIC. Processus documentés pour l’identification des actifs, l’analyse des risques, les mesures de protection et la réponse aux incidents. Le cadre doit être approuvé par la direction et régulièrement révisé. Les documents BAIT peuvent servir de point de départ mais doivent être étendus pour répondre aux exigences DORA.

3. Vérifier les contrats avec les fournisseurs TIC externes. Chaque contrat doit inclure des clauses conformes à DORA : droits d’audit, SLA avec des indicateurs de performance mesurables, droits de résiliation, stratégies de sortie et obligations de notification d’incident. Avec des centaines de contrats, cela représente un projet de plusieurs mois.

4. Planifier les tests de pénétration orientés par les menaces. Pour les établissements systémiques, le TLPT est obligatoire. Cela nécessite des équipes rouges externes qualifiées capables de simuler des scénarios de menaces réels. Les tests doivent être approuvés par la BaFin et les résultats déclarés. Planifiez tôt, car les fournisseurs qualifiés de TLPT sont en nombre limité.

5. Mettre en place des rapports de niveau direction. DORA fait de la gestion des risques TIC une responsabilité de la direction. Des rapports réguliers à la direction et au conseil de surveillance sur le profil de risque TIC, les incidents et le statut de conformité. Celui qui délègue cela au département informatique sans implication de la direction viole l’esprit, et potentiellement la lettre, du règlement.

Conclusion

DORA est la réglementation TIC la plus stricte que le secteur financier européen ait jamais connue. 3.600 entreprises en Allemagne doivent supporter des coûts d’implémentation allant jusqu’à 150 millions d’euros. 44 % rencontrent des difficultés importantes. La BaFin passe en 2026 de la phase d’introduction à la phase d’application. Et 19 fournisseurs TIC externes critiques sont pour la première fois placés sous surveillance directe de l’UE. Pour le secteur financier allemand, c’est à la fois un défi et une opportunité : celui qui démontre sa conformité DORA prouve sa maturité numérique sur un marché où la confiance est la monnaie la plus dure.

Questions fréquentes

DORA s’applique-t-elle aussi aux petites entreprises financières ?

Oui, mais avec proportionnalité. Les petites entreprises financières doivent remplir les obligations principales (gestion des risques TIC, déclaration d’incidents, surveillance des tiers), mais peuvent utiliser des cadres simplifiés. Le test de pénétration orienté par les menaces (TLPT) est obligatoire uniquement pour les établissements systémiques. La BaFin a annoncé qu’elle tiendrait compte de la taille et de la complexité de l’établissement lors des contrôles.

Que devient la BAIT ?

Les exigences prudentielles en matière d’IT seront totalement abrogées le 31 décembre 2026. DORA remplace la BAIT comme référence réglementaire. Les établissements qui étaient conformes à la BAIT ont une bonne base mais doivent améliorer plusieurs points : le TLPT, la surveillance des tiers et le registre d’information formalisé vont au-delà de la BAIT.

En quoi DORA diffère-t-elle de NIS2 ?

DORA est considérée comme une réglementation spécifique (lex specialis) pour le secteur financier et prime sur NIS2 en matière de risques TIC. DORA est plus stricte : tests de pénétration orientés par les menaces au lieu d’évaluations de vulnérabilités simples, surveillance directe des fournisseurs externes critiques au lieu d’une simple gestion des risques, et exigences de déclaration d’incidents plus spécifiques. Les banques relèvent de DORA et non de NIS2.

Que signifie la liste CTPP pour les clients du cloud ?

Les établissements financiers utilisant AWS, Azure, Google Cloud, SAP ou Deutsche Telekom bénéficient de la surveillance supplémentaire de l’UE sur ces fournisseurs. Mais : la surveillance des CTPP ne remplace pas la diligence propre. Chaque établissement doit continuer à vérifier et documenter si son fournisseur cloud remplit les exigences DORA.

Quel est le coût de la conformité DORA pour un établissement de taille moyenne ?

Selon Advisori : 6 à 12 mois pour une conformité substantielle, 12 à 18 mois pour une conformité complète. Les coûts directs dépendent de la situation initiale. Les établissements ayant déjà une conformité BAIT partent mieux que ceux qui n’en ont pas. McKinsey estime les coûts totaux pour les grands établissements à 25 à 150 millions d’euros. Pour les établissements de taille moyenne (banque régionale, assureur spécialisé), une fraction de ce montant est réaliste : 1 à 5 millions d’euros selon la complexité.

Lectures complémentaires

NIS2 en Allemagne : ce que les entreprises doivent mettre en œuvre maintenant (SecurityToday)

Réponse aux incidents à l’allemande : BSI et DCSO (SecurityToday)

NIS2 comme avantage pour le lieu d’implantation (SecurityToday)

Relance de l’Allemagne : 735 milliards d’investissements (MyBusinessFuture)

Source de l’image : Pexels / Pixabay (px:210574)

Tobias Massow

À propos de l'auteur: Tobias Massow

Plus d'articles de

Aussi disponible en

EspañolEnglishDeutsch

Lire l'article

Un magazine de Evernine Media GmbH