BRIEFING SÉCURITÉ · 15.07.2026 DEENFRES

Lexique de sécurité

Qu’est-ce que DORA ? Définition, obligations et délais

Par Benedikt Langer · 6 juillet 2026 · 9 min de lecture

Qu’est-ce que DORA ? Le Digital Operational Resilience Act, règlement (UE) 2022/2554, est un acte législatif européen visant à renforcer la résilience opérationnelle numérique du secteur financier. Il impose aux entreprises financières une gestion unifiée de leurs risques liés aux technologies de l’information et de la communication (TIC), la déclaration des incidents graves, des tests réguliers de résilience ainsi que le contrôle de leurs prestataires de services TIC. DORA s’applique directement dans tous les États membres depuis le 17 janvier 2025.

Points clés

  • Nature juridique : DORA est un règlement qui s’applique directement depuis le 17 janvier 2025. Contrairement à une directive, il ne nécessite pas de transposition nationale.
  • Champ d’application : l’ensemble du secteur financier, des banques et assurances aux prestataires de services de titres et de paiement, en passant par les acteurs des crypto-actifs et les gestionnaires de fonds.
  • Cœur du dispositif : cinq domaines clés, allant de la gestion des risques TIC à la déclaration des incidents, en passant par les tests de résilience et la gestion des risques liés aux tiers.

Ce que DORA signifie concrètement

DORA crée un cadre européen unifié pour la résilience numérique du secteur financier. Avant DORA, la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication) était régie par de nombreuses règles nationales et exigences de supervision. Le règlement regroupe ces obligations et les rend contraignantes de manière identique dans tous les États membres. En tant que règlement, DORA s’applique directement, sans nécessiter de transposition par une loi nationale.

17 janv. 2025

DORA applicable immédiatement

Règlement (UE) 2022/2554

DORA est applicable depuis le 17 janvier 2025. Les entreprises financières concernées doivent respecter l’intégralité des exigences à compter de cette date. Le règlement est précisé par des normes techniques de réglementation et d’exécution (RTS et ITS) élaborées par les autorités européennes de surveillance, qui détaillent les obligations individuelles.

Le cadre repose sur cinq piliers. Premièrement, une gestion des risques liés aux TIC assortie d’un cadre de gouvernance dont les organes dirigeants sont responsables. Deuxièmement, une procédure de classification des incidents liés aux TIC et de signalement des incidents graves aux autorités compétentes. Troisièmement, des tests réguliers de résilience numérique. Quatrièmement, la gestion des risques liés aux prestataires tiers de services TIC, incluant un registre et des exigences contractuelles minimales. Cinquièmement, l’échange volontaire de menaces cyber entre les entreprises financières.

Public concerné

Le règlement DORA (Digital Operational Resilience Act) s’adresse à un large éventail d’entreprises du secteur financier, bien au-delà des seules banques. Sont notamment concernés : les établissements de crédit, les compagnies d’assurance et de réassurance, les entreprises d’investissement, les établissements de paiement et de monnaie électronique, les prestataires de services sur crypto-actifs, les gestionnaires de fonds ainsi que d’autres acteurs régulés. Pour les petites entreprises non interconnectées, le règlement prévoit des exigences allégées à certains endroits.

Une particularité de DORA réside dans l’élargissement de son champ d’application au-delà de l’entreprise financière individuelle. Les prestataires tiers de TIC (technologies de l’information et de la communication) critiques, tels que les grands fournisseurs de services cloud ou d’infrastructures, peuvent être soumis à une supervision directe au niveau de l’UE. La classification de ces prestataires critiques s’effectue via une procédure formelle des autorités européennes de surveillance, encore en cours de mise en place. Le processus est en cours, mais une liste publique définitive n’a pas encore été publiée.

En Allemagne, la mise en œuvre de DORA relève principalement de la BaFin (Autorité fédérale de surveillance financière) et, pour les établissements placés sous supervision européenne commune, de la Deutsche Bundesbank (Banque fédérale d’Allemagne). Au niveau de l’UE, les trois autorités européennes de surveillance – l’EBA (Autorité bancaire européenne), l’ESMA (Autorité européenne des marchés financiers) et l’EIOPA (Autorité européenne des assurances et des pensions professionnelles) – collaborent au sein du Comité mixte pour piloter le cadre de surveillance des prestataires tiers de TIC critiques.

Ce que les entreprises doivent vérifier dès maintenant

Les entreprises financières concernées devraient d’abord examiner leur cadre de gouvernance des risques liés aux technologies de l’information et de la communication (TIC). L’organe de direction est responsable et doit approuver et superviser la stratégie de résilience numérique. Il convient ensuite d’inventorier les systèmes, processus et dépendances TIC internes.

À vérifier dès maintenant

  • Examiner le cadre de gouvernance des risques TIC et obtenir l’approbation de l’organe de direction
  • Identifier les systèmes, processus et dépendances TIC
  • Constituer un registre des prestataires TIC et adapter les contrats
  • Mettre en place un processus de signalement des incidents TIC graves
  • Vérifier si le Threat-Led Penetration Testing (TLPT) s’applique

Un point central concerne le registre des prestataires TIC. Les entreprises doivent identifier quels fournisseurs assurent quelles fonctions et adapter leurs contrats aux exigences minimales prévues par le règlement. Parallèlement, il est nécessaire de mettre en place un processus de classification et de signalement des incidents TIC graves, incluant des voies d’escalade internes claires vers l’autorité compétente.

Le registre des contrats d’information ne constitue pas un document ponctuel, mais une preuve requise par les autorités de surveillance. La BaFin (l’autorité allemande de régulation financière) et les autorités européennes consultent ces registres pour détecter les risques de concentration sur le marché, par exemple la dépendance de nombreux établissements à quelques grands fournisseurs de cloud. Une tenue incomplète du registre expose non seulement à des observations, mais aussi à une perte de visibilité sur les dépendances critiques. Par ailleurs, le risque lié aux sous-traitants est mis en avant : un prestataire qui externalise des parties essentielles de ses services doit révéler cette chaîne de sous-traitance.

En matière de tests, le règlement DORA (Digital Operational Resilience Act) distingue les tests de base réguliers, applicables à toutes les entreprises concernées, et les tests de pénétration ciblés, appelés Threat-Led Penetration Testing (TLPT). Ces derniers, plus exigeants, ne sont pas obligatoires pour toutes les entreprises. Ils s’appliquent aux entités jugées d’importance systémique et doivent être réalisés environ tous les trois ans. Les entreprises devraient donc rapidement déterminer si elles entrent dans cette catégorie.

Différenciation avec des concepts apparentés

Le règlement DORA et la directive NIS2 sont souvent cités ensemble, mais ils poursuivent des objectifs distincts. La directive NIS2 couvre un large éventail de secteurs et est transposée dans les législations nationales. DORA, en revanche, est un règlement directement applicable qui cible exclusivement le secteur financier et encadre en détail la résilience numérique de celui-ci.

Dans le secteur financier, DORA constitue la réglementation la plus spécifique. Les entreprises financières soumises à DORA sont donc exemptées des obligations prévues par la directive NIS2. Ainsi, ces entreprises ne sont pas soumises à des obligations redondantes issues de ces deux cadres réglementaires. Pour les entreprises en dehors du secteur financier, la directive NIS2 reste l’instrument de référence.

Une confusion fréquente consiste à assimiler DORA à de simples clauses contractuelles imposées aux fournisseurs de services cloud. La gestion des risques liés aux tiers ne représente qu’un seul des cinq domaines couverts par DORA. Ce règlement englobe l’ensemble de la gestion des risques liés aux TIC, la notification des incidents, les tests et la gouvernance. De plus, DORA s’applique à un large éventail d’entreprises financières, allant des banques aux assureurs en passant par les prestataires de services de paiement.

Foire aux questions

Chaque question est verrouillée. Un clic déverrouille la réponse.

Depuis quand le règlement DORA s’applique-t-il ?

Le règlement DORA (Digital Operational Resilience Act) s’applique depuis le 17 janvier 2025. Les entreprises financières concernées doivent respecter l’ensemble des exigences depuis cette date.

DORA est-il une directive ou un règlement ?

DORA est un règlement. Il s’applique directement dans tous les États membres de l’UE et n’a pas besoin d’être transposé par des lois nationales.

Tous les établissements financiers doivent-ils réaliser une évaluation de la résilience opérationnelle (TLPT) ?

Non. Le pentesting orienté menaces s’applique aux entreprises classées comme significatives et doit y être réalisé périodiquement, environ tous les trois ans. Cependant, toutes les entreprises concernées doivent effectuer des tests de base réguliers.

Le règlement DORA s’applique-t-il en plus de la directive NIS2 ?

Pour les entreprises financières, le règlement DORA prime en tant que disposition plus spécifique. Elles sont donc dispensées des obligations NIS2, ce qui évite une double obligation découlant des deux cadres réglementaires.

Qui supervise DORA en Allemagne ?

En Allemagne, ce sont principalement l’autorité fédérale de surveillance financière (BaFin) et, pour les établissements sous surveillance européenne conjointe, la Banque fédérale d’Allemagne (Deutsche Bundesbank) qui sont compétentes. Les prestataires tiers de services TIC critiques peuvent en outre être soumis à une surveillance au niveau de l’UE.

Les choix de la rédaction

À lireÀ partir de quand l’horloge du délai de déclaration commence-t-elle vraiment à ticter ?À lireCinq postes qui nécessitent un budget avant le SIEM

Plus du réseau MBF Media

MyBusinessFutureLa surveillance de l’IA en Allemagne a maintenant une adresse

Pour aller plus loin

Un magazine d'Evernine Media GmbH