{"id":8433,"date":"2026-01-29T09:00:00","date_gmt":"2026-01-29T09:00:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/02\/post_id-5511\/"},"modified":"2026-06-10T10:30:47","modified_gmt":"2026-06-10T10:30:47","slug":"implementacao-da-dora-a-regulamentacao-de-ti-mais-rigorosa-do-setor-financeiro-europeu","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/01\/29\/implementacao-da-dora-a-regulamentacao-de-ti-mais-rigorosa-do-setor-financeiro-europeu\/","title":{"rendered":"Implementa\u00e7\u00e3o da DORA: A Regulamenta\u00e7\u00e3o de TI Mais Rigorosa do Setor Financeiro Europeu"},"content":{"rendered":"<p style=\"display:inline-block;background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;margin-bottom:18px;\">7 min de lecture<\/p>\n<p><strong>3.600 entreprises financi\u00e8res en Allemagne sont soumises \u00e0 une nouvelle r\u00e9glementation sans p\u00e9riode de transition. Le Digital Operational Resilience Act (DORA) est entr\u00e9 en vigueur le 17 janvier 2025 et exige des banques, assureurs et gestionnaires d&rsquo;actifs un niveau de r\u00e9silience num\u00e9rique que beaucoup doivent encore d\u00e9velopper. Selon Advisori, 44 % des entreprises financi\u00e8res allemandes rencontrent des difficult\u00e9s importantes de mise en \u0153uvre. Les co\u00fbts d&rsquo;impl\u00e9mentation pour les grands \u00e9tablissements s&rsquo;\u00e9l\u00e8vent \u00e0 25 \u00e0 150 millions d&rsquo;euros selon McKinsey. La BaFin a annonc\u00e9 qu&rsquo;elle entamerait des contr\u00f4les syst\u00e9matiques en 2026. Pour le secteur financier allemand, DORA devient un test d\u00e9cisif : celui qui remplit les exigences d\u00e9montre sa maturit\u00e9 num\u00e9rique. Celui qui \u00e9choue risque non seulement des amendes, mais aussi la confiance du march\u00e9.<\/strong><\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">L&rsquo;essentiel<\/h2>\n<ul>\n<li><strong>3.600 entreprises financi\u00e8res en Allemagne concern\u00e9es :<\/strong> Sur 22.000 au niveau de l&rsquo;UE. DORA s&rsquo;applique depuis le 17 janvier 2025 sans p\u00e9riode de transition. Aucune exception.<\/li>\n<li><strong>25 \u00e0 150 millions d&rsquo;euros de co\u00fbts d&rsquo;impl\u00e9mentation :<\/strong> Pour les grands \u00e9tablissements. C&rsquo;est 5 \u00e0 10 fois le budget initial du programme. 70 % s&rsquo;attendent \u00e0 des co\u00fbts d&rsquo;exploitation durablement plus \u00e9lev\u00e9s (<a href=\"https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/europes-new-resilience-regime-the-race-to-get-ready-for-dora\" target=\"_blank\" rel=\"noopener\">McKinsey<\/a>).<\/li>\n<li><strong>44 % rencontrent des difficult\u00e9s importantes de mise en \u0153uvre :<\/strong> Le niveau moyen d&rsquo;application dans les entreprises financi\u00e8res allemandes atteint environ deux tiers des exigences (<a href=\"https:\/\/www.advisori.de\/blog\/dora-2026-umsetzung-finanzunternehmen-compliance\" target=\"_blank\" rel=\"noopener\">Advisori<\/a>).<\/li>\n<li><strong>19 fournisseurs externes TIC critiques sous supervision directe de l&rsquo;UE :<\/strong> Parmi eux, Deutsche Telekom et SAP. Pour la premi\u00e8re fois, les ESAs contr\u00f4lent directement les fournisseurs de cloud.<\/li>\n<li><strong>La BaFin lance des contr\u00f4les syst\u00e9matiques en 2026 :<\/strong> Date limite de d\u00e9claration au registre d&rsquo;information du 9 au 30 mars 2026. La BAIT sera totalement abrog\u00e9e au 31 d\u00e9cembre 2026.<\/li>\n<\/ul>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Ce que DORA exige des entreprises financi\u00e8res<\/h2>\n<p>DORA repose sur cinq piliers qui forment ensemble un cadre complet de r\u00e9silience op\u00e9rationnelle num\u00e9rique. Il ne suffit pas de mettre en \u0153uvre des mesures isol\u00e9es. La <a href=\"https:\/\/www.bafin.de\/DE\/Aufsicht\/DORA\/DORA_node.html\" target=\"_blank\" rel=\"noopener\">BaFin<\/a> attend un syst\u00e8me int\u00e9gr\u00e9.<\/p>\n<p><strong>Pilier 1 : Gestion des risques TIC.<\/strong> Un cadre complet couvrant l&rsquo;identification des actifs, l&rsquo;analyse des risques, les mesures de protection, la d\u00e9tection des menaces, la r\u00e9ponse aux incidents et la reprise apr\u00e8s sinistre. Aucune entreprise financi\u00e8re ne peut plus fonctionner sans gestion document\u00e9e des risques TIC. Cela semble \u00e9vident, mais en pratique, ce n&rsquo;est pas le cas : de nombreux gestionnaires d&rsquo;actifs et prestataires de services de paiement plus petits ont jusqu&rsquo;ici travaill\u00e9 avec des processus informels.<\/p>\n<p><strong>Pilier 2 : Gestion et d\u00e9claration des incidents.<\/strong> Obligation de d\u00e9clarer les incidents TIC graves. Les d\u00e9lais s&rsquo;inspirent de <a href=\"https:\/\/www.securitytoday.fr\/2026\/03\/12\/nis2-in-deutschland-was-unternehmen-jetzt-wissen-und-umsetzen-muessen\/\">NIS2<\/a> mais sont sp\u00e9cifiques \u00e0 DORA : alerte pr\u00e9coce, notification d&rsquo;incident et rapport final. Toute entreprise sans processus de d\u00e9claration fonctionnel enfreint la loi d\u00e8s le premier incident.<\/p>\n<p><strong>Pilier 3 : Tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique.<\/strong> Tests de charge r\u00e9guliers et exercices bas\u00e9s sur des sc\u00e9narios. Pour les \u00e9tablissements syst\u00e9miques s&rsquo;ajoutent les Threat-Led Penetration Testing (TLPT) : des attaques simul\u00e9es par des \u00e9quipes rouges externes reproduisant des sc\u00e9narios de menaces r\u00e9els. C&rsquo;est un saut quantique par rapport aux tests de p\u00e9n\u00e9tration annuels pr\u00e9c\u00e9dents.<\/p>\n<p><strong>Pilier 4 : Gestion des risques li\u00e9s aux tiers.<\/strong> Tous les contrats avec fournisseurs TIC externes doivent contenir des clauses conformes \u00e0 DORA : SLA, droits d&rsquo;audit, droits de r\u00e9siliation, strat\u00e9gies de sortie et obligations de notification d&rsquo;incident. Pour une banque ayant des centaines de contrats informatiques, cela signifie une v\u00e9rification compl\u00e8te et une ren\u00e9gociation de son portefeuille contractuel.<\/p>\n<p><strong>Pilier 5 : Partage d&rsquo;informations sur les cybermenaces.<\/strong> \u00c9change d&rsquo;informations sur les menaces entre entreprises financi\u00e8res. Volontaire mais recommand\u00e9. La <a href=\"https:\/\/www.securitytoday.fr\/2026\/01\/22\/incident-response-bsi-cert-dcso-deutschland-reboot-2026\/\">DCSO<\/a> (port\u00e9e par Allianz, BASF, Bayer, VW) est pionni\u00e8re \u00e0 cet \u00e9gard, mais le secteur financier a besoin de ses propres formats.<\/p>\n<div style=\"background:#0a1628;border-radius:12px;padding:32px;margin:40px 0;\">\n<div style=\"color:#fff;display:flex;justify-content:space-around;text-align:center;flex-wrap:wrap;gap:20px;\">\n<div style=\"color:#fff;flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">22.000<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">Entreprises financi\u00e8res sous DORA<\/div>\n<\/div>\n<div style=\"color:#fff;flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">Jan 2025<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">DORA pleinement applicable<\/div>\n<\/div>\n<div style=\"color:#fff;flex:1;min-width:140px;\">\n<div style=\"font-size:2.2em;font-weight:800;color:#69d8ed;\">TLPT<\/div>\n<div style=\"color:#69d8ed;font-size:0.85em;margin-top:4px;\">Tests de p\u00e9n\u00e9tration obligatoires pour les banques<\/div>\n<\/div>\n<\/div>\n<\/div>\n<p style=\"color:rgba(0,0,0,0.5);font-size:0.8em;text-align:right;margin-top:-30px;margin-bottom:30px;\">Sources : R\u00e8glement DORA UE 2022\/2554, BaFin<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">3.600<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">Entreprises financi\u00e8res en Allemagne soumises \u00e0 la r\u00e9glementation DORA<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Source : Association bancaire \/ BaFin, 2025<\/div>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Ce que pr\u00e9voit la BaFin pour 2026<\/h2>\n<p>Jens Obermoeller, chef du groupe Surveillance IT \u00e0 la BaFin, a clairement indiqu\u00e9 la direction. Dans un entretien technique, il a formul\u00e9 en substance : La concentration sur quelques fournisseurs d&rsquo;un c\u00f4t\u00e9 et une cha\u00eene de valeur fragment\u00e9e de l&rsquo;autre compliquent le contr\u00f4le des processus critiques. Un incident chez un prestataire informatique syst\u00e9mique peut d\u00e9clencher un effet domino affectant l&rsquo;ensemble du march\u00e9 financier.<\/p>\n<p>La BaFin a propos\u00e9 en f\u00e9vrier 2026 des ateliers pour la deuxi\u00e8me s\u00e9rie de d\u00e9clarations au registre d&rsquo;information. La date limite de d\u00e9claration s&rsquo;\u00e9tend du 9 au 30 mars 2026. Pour 2026 et 2027, la BaFin a annonc\u00e9 des contr\u00f4les et des v\u00e9rifications syst\u00e9matiques, en mettant l&rsquo;accent sur la qualit\u00e9 et l&rsquo;exhaustivit\u00e9 des registres d&rsquo;information. C&rsquo;est la transition de la phase de mise en \u0153uvre \u00e0 la phase d&rsquo;application.<\/p>\n<p>Particuli\u00e8rement important pour le march\u00e9 : La BAIT (Exigences prudentielles en mati\u00e8re d&rsquo;IT), depuis 2017 le cadre r\u00e9glementaire central pour les banques allemandes, sera totalement abrog\u00e9e au 31 d\u00e9cembre 2026. DORA remplace la BAIT non seulement en substance mais aussi formellement. Pour les \u00e9tablissements qui se sont jusqu&rsquo;ici appuy\u00e9s sur la BAIT, le cadre r\u00e9glementaire de r\u00e9f\u00e9rence change compl\u00e8tement. La conformit\u00e9 BAIT n&rsquo;assure pas la conformit\u00e9 DORA, car DORA va nettement plus loin dans plusieurs domaines.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">La question des co\u00fbts : 25 \u00e0 150 millions d&rsquo;euros<\/h2>\n<p>L&rsquo;<a href=\"https:\/\/www.mckinsey.com\/capabilities\/risk-and-resilience\/our-insights\/europes-new-resilience-regime-the-race-to-get-ready-for-dora\" target=\"_blank\" rel=\"noopener\">analyse de McKinsey<\/a> sur les co\u00fbts d&rsquo;impl\u00e9mentation de DORA est accablante. Seuls les co\u00fbts de strat\u00e9gie, de planification et d&rsquo;orchestration s&rsquo;\u00e9l\u00e8vent \u00e0 5 \u00e0 15 millions d&rsquo;euros selon les consultants. Les co\u00fbts totaux d&rsquo;impl\u00e9mentation pour les grands \u00e9tablissements atteignent 25 \u00e0 150 millions d&rsquo;euros, soit 5 \u00e0 10 fois le budget initial du programme. 70 % des r\u00e9pondants s&rsquo;attendent \u00e0 des co\u00fbts d&rsquo;exploitation durablement plus \u00e9lev\u00e9s pour la technologie et le contr\u00f4le.<\/p>\n<p>40 % des \u00e9tablissements financiers et fournisseurs TIC consacrent plus de sept postes \u00e0 temps plein \u00e0 leurs programmes de conformit\u00e9 DORA. Un tiers seulement \u00e9tait confiant dans le fait de remplir toutes les exigences d&rsquo;ici la date butoir de janvier 2025. 50 % s&rsquo;attendaient \u00e0 une conformit\u00e9 compl\u00e8te d&rsquo;ici fin 2025, 38 % seulement en 2026.<\/p>\n<p>Pour les entreprises financi\u00e8res de taille moyenne (banques r\u00e9gionales, assureurs sp\u00e9cialis\u00e9s, prestataires de paiement), Advisori estime le d\u00e9lai n\u00e9cessaire \u00e0 6 \u00e0 12 mois pour une conformit\u00e9 substantielle et \u00e0 12 \u00e0 18 mois pour une conformit\u00e9 totale. Selon l&rsquo;analyse, 44 % des entreprises financi\u00e8res allemandes rencontrent des difficult\u00e9s importantes de mise en \u0153uvre. Le niveau moyen d&rsquo;application atteint environ deux tiers des exigences.<\/p>\n<p>Les sanctions en cas de manquement sont s\u00e9v\u00e8res : jusqu&rsquo;\u00e0 10 % du chiffre d&rsquo;affaires annuel ou 10 millions d&rsquo;euros pour les infractions graves. Des amendes pouvant atteindre un million d&rsquo;euros menacent les dirigeants individuels. Cela fait de la conformit\u00e9 DORA une question de responsabilit\u00e9 personnelle au niveau de la direction.<\/p>\n<div class=\"evm-stat evm-stat-highlight\" style=\"text-align:center;background:#f0f9fa;border-radius:12px;padding:32px 24px;margin:32px 0;\">\n<div style=\"font-size:48px;font-weight:700;color:#004a59;letter-spacing:-0.03em;\">25-150 Mio. EUR<\/div>\n<div style=\"font-size:15px;color:#444;margin-top:8px;\">Co\u00fbts d&rsquo;impl\u00e9mentation DORA pour les grands \u00e9tablissements<\/div>\n<div style=\"font-size:12px;color:#888;margin-top:8px;\">Source : McKinsey, 2024\/2025<\/div>\n<\/div>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">19 fournisseurs externes critiques sous supervision directe de l&rsquo;UE<\/h2>\n<p>Le 18 novembre 2025, les autorit\u00e9s de surveillance europ\u00e9ennes (EBA, ESMA, EIOPA) ont publi\u00e9 pour la premi\u00e8re fois une liste de 19 fournisseurs externes TIC critiques (CTPP). Pour la premi\u00e8re fois dans l&rsquo;histoire de la surveillance financi\u00e8re, les fournisseurs de cloud et les prestataires informatiques sont plac\u00e9s sous surveillance directe de l&rsquo;UE.<\/p>\n<p>La <a href=\"https:\/\/www.esma.europa.eu\/sites\/default\/files\/2025-11\/List_of_designated_CTPPs.pdf\" target=\"_blank\" rel=\"noopener\">liste<\/a> comprend notamment : Amazon Web Services, Microsoft, Google Cloud, IBM, Oracle, Accenture, Capgemini et NTT DATA. Deux entreprises allemandes figurent sur la liste : <strong>Deutsche Telekom AG<\/strong> et <strong>SAP SE<\/strong>. Les crit\u00e8res de d\u00e9signation : impact syst\u00e9mique en cas de d\u00e9faillance, importance des \u00e9tablissements financiers d\u00e9pendants, risque de concentration et substituabilit\u00e9.<\/p>\n<p>Pour le secteur financier allemand, cela a deux cons\u00e9quences : Premi\u00e8rement, Deutsche Telekom et SAP, en tant que prestataires pour les banques et assureurs, seront directement contr\u00f4l\u00e9s par les ESAs. Cela renforce les exigences en mati\u00e8re de gouvernance, de normes de s\u00e9curit\u00e9 et de d\u00e9claration d&rsquo;incidents. Deuxi\u00e8mement, les \u00e9tablissements financiers allemands utilisant ces fournisseurs doivent prouver leur propre surveillance des tiers. La surveillance de l&rsquo;UE sur les CTPP ne remplace pas l&rsquo;obligation des \u00e9tablissements de v\u00e9rifier eux-m\u00eames.<\/p>\n<p>AWS a confirm\u00e9 la d\u00e9signation sur son <a href=\"https:\/\/aws.amazon.com\/blogs\/security\/aws-designated-as-a-critical-third-party-provider-under-eus-dora-regulation\/\" target=\"_blank\" rel=\"noopener\">blog s\u00e9curit\u00e9<\/a> et s&rsquo;est engag\u00e9 \u00e0 coop\u00e9rer avec les autorit\u00e9s de surveillance. Les domaines contr\u00f4l\u00e9s : d\u00e9claration d&rsquo;incidents, sous-traitance, s\u00e9curit\u00e9 TIC et gouvernance.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">DORA vs. NIS2 : Quand s&rsquo;applique quoi ?<\/h2>\n<p>La question la plus fr\u00e9quente en pratique : Les entreprises financi\u00e8res doivent-elles respecter \u00e0 la fois DORA et <a href=\"https:\/\/www.securitytoday.fr\/2026\/01\/05\/nis2-standortvorteil-cybersecurity-regulierung-deutschland-reboot-2026\/\">NIS2<\/a> ? La r\u00e9ponse est plus claire que souvent pr\u00e9sent\u00e9e.<\/p>\n<p>DORA est un r\u00e8glement europ\u00e9en (directement applicable), NIS2 est une directive (doit \u00eatre transpos\u00e9e au niveau national). Le principe de lex specialis s&rsquo;applique : DORA prime sur NIS2 en mati\u00e8re de risques TIC dans le secteur financier. Les banques et \u00e9tablissements de cr\u00e9dit rel\u00e8vent de DORA et non de NIS2. Les infrastructures de march\u00e9 financier (places de n\u00e9goce, contreparties centrales) \u00e9galement.<\/p>\n<p>Les diff\u00e9rences en d\u00e9tail : NIS2 recommande des \u00e9valuations de vuln\u00e9rabilit\u00e9s, DORA impose des Threat-Led Penetration Testing (beaucoup plus exigeants). Pour les fournisseurs externes, DORA instaure une surveillance directe des CTPP, NIS2 exige uniquement une gestion des risques sans surveillance directe. Et tandis que NIS2 r\u00e9gule 18 secteurs transversaux, DORA se concentre exclusivement sur le secteur financier avec des exigences plus sp\u00e9cifiques et plus strictes.<\/p>\n<p>Pour les entreprises exer\u00e7ant \u00e0 la fois des activit\u00e9s financi\u00e8res et exploitant des infrastructures critiques (par exemple une assurance exploitant ses propres centres de donn\u00e9es), les deux r\u00e9glementations peuvent s&rsquo;appliquer. Dans ce cas : DORA pour les activit\u00e9s financi\u00e8res, NIS2 pour l&rsquo;infrastructure.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">La position contraire : Sur-r\u00e9glementation du secteur financier ?<\/h2>\n<p>La critique de DORA est r\u00e9elle et vient du secteur lui-m\u00eame. Des co\u00fbts d&rsquo;impl\u00e9mentation de 25 \u00e0 150 millions d&rsquo;euros pour un texte r\u00e9glementaire sans p\u00e9riode de transition constituent un fardeau \u00e9norme, particuli\u00e8rement pour les petits \u00e9tablissements. Les caisses d&rsquo;\u00e9pargne r\u00e9gionales et les banques coop\u00e9ratives, qui fonctionnaient bien avec la BAIT jusqu&rsquo;ici, doivent maintenant respecter des normes europ\u00e9ennes con\u00e7ues pour les grandes banques mondiales.<\/p>\n<p>S&rsquo;ajoute le chevauchement : DORA, NIS2 et le r\u00e8glement sur l&rsquo;IA cr\u00e9ent ensemble une densit\u00e9 r\u00e9glementaire sans \u00e9quivalent mondial. Pour un prestataire de services financiers prenant des d\u00e9cisions de cr\u00e9dit assist\u00e9es par l&rsquo;IA, les trois r\u00e9glementations peuvent potentiellement s&rsquo;appliquer simultan\u00e9ment. Les d\u00e9partements de conformit\u00e9 s&rsquo;agrandissent, mais pas la cr\u00e9ation de valeur propre.<\/p>\n<p>Et la surveillance des CTPP comporte un paradoxe : Si l&rsquo;UE supervise directement les grands fournisseurs de cloud, cela pourrait entra\u00eener une consolidation. Les fournisseurs de cloud plus petits, incapables de supporter la charge de surveillance, se retireraient du secteur financier. La d\u00e9pendance aux grands acteurs augmenterait au lieu de diminuer.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Pourquoi DORA reste un avantage pour le lieu d&rsquo;implantation<\/h2>\n<p>Le contre-argument plaide en faveur de DORA : Un seul incident cybern\u00e9tique grave dans une banque allemande peut causer des pertes de plusieurs milliards, \u00e9branler la confiance dans le centre financier et entra\u00eener des cons\u00e9quences r\u00e9glementaires allant bien au-del\u00e0 des amendes DORA.<\/p>\n<p>Le <a href=\"https:\/\/www.digital-chiefs.de\/portfolio-transformation-carve-out-ma-pe-deutschland-2026\/\" target=\"_blank\" rel=\"noopener\">centre financier de Francfort<\/a> concurrence Londres, Paris et Amsterdam. Dans un contexte o\u00f9 les investisseurs internationaux \u00e9valuent la maturit\u00e9 en cybers\u00e9curit\u00e9 comme un crit\u00e8re de qualit\u00e9, la conformit\u00e9 DORA devient un argument de localisation. Un centre financier qui d\u00e9montre sa r\u00e9silience attire plus de capitaux qu&rsquo;un centre qui se contente d&rsquo;affirmer sa r\u00e9silience.<\/p>\n<p>Et les \u00e9tablissements allemands ont un avantage de d\u00e9part : L&rsquo;exp\u00e9rience avec la BAIT depuis 2017 a cr\u00e9\u00e9 un socle de conformit\u00e9 sur lequel DORA peut s&rsquo;appuyer. Le <a href=\"https:\/\/mybusinessfuture.com\/reboot-germany-735-milliarden-mittelstand-investitionen-2026\/\" target=\"_blank\" rel=\"noopener\">Bankenverband<\/a> souligne que les \u00e9tablissements financiers allemands sont consid\u00e9r\u00e9s comme \u00ab pionniers dans les domaines de la s\u00e9curit\u00e9 et de la conformit\u00e9 \u00bb. DORA \u00e9l\u00e8ve les exigences au niveau europ\u00e9en, mais l&rsquo;Allemagne ne part pas de z\u00e9ro.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Cinq \u00e9tapes vers la conformit\u00e9 DORA<\/h2>\n<p><strong>1. Construire et d\u00e9clarer le registre d&rsquo;information.<\/strong> La date limite de d\u00e9claration de la BaFin pour la deuxi\u00e8me soumission s&rsquo;\u00e9tend du 9 au 30 mars 2026. Le registre doit contenir tous les contrats avec fournisseurs TIC externes, incluant les SLA, l&rsquo;\u00e9valuation de criticit\u00e9 et les strat\u00e9gies de sortie. Celui qui a manqu\u00e9 la premi\u00e8re s\u00e9rie doit rattraper maintenant.<\/p>\n<p><strong>2. Formaliser le cadre de gestion des risques TIC.<\/strong> Processus document\u00e9s pour l&rsquo;identification des actifs, l&rsquo;analyse des risques, les mesures de protection et la r\u00e9ponse aux incidents. Le cadre doit \u00eatre approuv\u00e9 par la direction et r\u00e9guli\u00e8rement r\u00e9vis\u00e9. Les documents BAIT peuvent servir de point de d\u00e9part mais doivent \u00eatre \u00e9tendus pour r\u00e9pondre aux exigences DORA.<\/p>\n<p><strong>3. V\u00e9rifier les contrats avec les fournisseurs TIC externes.<\/strong> Chaque contrat doit inclure des clauses conformes \u00e0 DORA : droits d&rsquo;audit, SLA avec des indicateurs de performance mesurables, droits de r\u00e9siliation, strat\u00e9gies de sortie et obligations de notification d&rsquo;incident. Avec des centaines de contrats, cela repr\u00e9sente un projet de plusieurs mois.<\/p>\n<p><strong>4. Planifier les tests de p\u00e9n\u00e9tration orient\u00e9s par les menaces.<\/strong> Pour les \u00e9tablissements syst\u00e9miques, le TLPT est obligatoire. Cela n\u00e9cessite des \u00e9quipes rouges externes qualifi\u00e9es capables de simuler des sc\u00e9narios de menaces r\u00e9els. Les tests doivent \u00eatre approuv\u00e9s par la BaFin et les r\u00e9sultats d\u00e9clar\u00e9s. Planifiez t\u00f4t, car les fournisseurs qualifi\u00e9s de TLPT sont en nombre limit\u00e9.<\/p>\n<p><strong>5. Mettre en place des rapports de niveau direction.<\/strong> DORA fait de la gestion des risques TIC une responsabilit\u00e9 de la direction. Des rapports r\u00e9guliers \u00e0 la direction et au conseil de surveillance sur le profil de risque TIC, les incidents et le statut de conformit\u00e9. Celui qui d\u00e9l\u00e8gue cela au d\u00e9partement informatique sans implication de la direction viole l&rsquo;esprit, et potentiellement la lettre, du r\u00e8glement.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Conclusion<\/h2>\n<p>DORA est la r\u00e9glementation TIC la plus stricte que le secteur financier europ\u00e9en ait jamais connue. 3.600 entreprises en Allemagne doivent supporter des co\u00fbts d&rsquo;impl\u00e9mentation allant jusqu&rsquo;\u00e0 150 millions d&rsquo;euros. 44 % rencontrent des difficult\u00e9s importantes. La BaFin passe en 2026 de la phase d&rsquo;introduction \u00e0 la phase d&rsquo;application. Et 19 fournisseurs TIC externes critiques sont pour la premi\u00e8re fois plac\u00e9s sous surveillance directe de l&rsquo;UE. Pour le secteur financier allemand, c&rsquo;est \u00e0 la fois un d\u00e9fi et une opportunit\u00e9 : celui qui d\u00e9montre sa conformit\u00e9 DORA prouve sa maturit\u00e9 num\u00e9rique sur un march\u00e9 o\u00f9 la confiance est la monnaie la plus dure.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Questions fr\u00e9quentes<\/h2>\n<h3>DORA s&rsquo;applique-t-elle aussi aux petites entreprises financi\u00e8res ?<\/h3>\n<p>Oui, mais avec proportionnalit\u00e9. Les petites entreprises financi\u00e8res doivent remplir les obligations principales (gestion des risques TIC, d\u00e9claration d&rsquo;incidents, surveillance des tiers), mais peuvent utiliser des cadres simplifi\u00e9s. Le test de p\u00e9n\u00e9tration orient\u00e9 par les menaces (TLPT) est obligatoire uniquement pour les \u00e9tablissements syst\u00e9miques. La BaFin a annonc\u00e9 qu&rsquo;elle tiendrait compte de la taille et de la complexit\u00e9 de l&rsquo;\u00e9tablissement lors des contr\u00f4les.<\/p>\n<h3>Que devient la BAIT ?<\/h3>\n<p>Les exigences prudentielles en mati\u00e8re d&rsquo;IT seront totalement abrog\u00e9es le 31 d\u00e9cembre 2026. DORA remplace la BAIT comme r\u00e9f\u00e9rence r\u00e9glementaire. Les \u00e9tablissements qui \u00e9taient conformes \u00e0 la BAIT ont une bonne base mais doivent am\u00e9liorer plusieurs points : le TLPT, la surveillance des tiers et le registre d&rsquo;information formalis\u00e9 vont au-del\u00e0 de la BAIT.<\/p>\n<h3>En quoi DORA diff\u00e8re-t-elle de NIS2 ?<\/h3>\n<p>DORA est consid\u00e9r\u00e9e comme une r\u00e9glementation sp\u00e9cifique (lex specialis) pour le secteur financier et prime sur NIS2 en mati\u00e8re de risques TIC. DORA est plus stricte : tests de p\u00e9n\u00e9tration orient\u00e9s par les menaces au lieu d&rsquo;\u00e9valuations de vuln\u00e9rabilit\u00e9s simples, surveillance directe des fournisseurs externes critiques au lieu d&rsquo;une simple gestion des risques, et exigences de d\u00e9claration d&rsquo;incidents plus sp\u00e9cifiques. Les banques rel\u00e8vent de DORA et non de NIS2.<\/p>\n<h3>Que signifie la liste CTPP pour les clients du cloud ?<\/h3>\n<p>Les \u00e9tablissements financiers utilisant AWS, Azure, Google Cloud, SAP ou Deutsche Telekom b\u00e9n\u00e9ficient de la surveillance suppl\u00e9mentaire de l&rsquo;UE sur ces fournisseurs. Mais : la surveillance des CTPP ne remplace pas la diligence propre. Chaque \u00e9tablissement doit continuer \u00e0 v\u00e9rifier et documenter si son fournisseur cloud remplit les exigences DORA.<\/p>\n<h3>Quel est le co\u00fbt de la conformit\u00e9 DORA pour un \u00e9tablissement de taille moyenne ?<\/h3>\n<p>Selon Advisori : 6 \u00e0 12 mois pour une conformit\u00e9 substantielle, 12 \u00e0 18 mois pour une conformit\u00e9 compl\u00e8te. Les co\u00fbts directs d\u00e9pendent de la situation initiale. Les \u00e9tablissements ayant d\u00e9j\u00e0 une conformit\u00e9 BAIT partent mieux que ceux qui n&rsquo;en ont pas. McKinsey estime les co\u00fbts totaux pour les grands \u00e9tablissements \u00e0 25 \u00e0 150 millions d&rsquo;euros. Pour les \u00e9tablissements de taille moyenne (banque r\u00e9gionale, assureur sp\u00e9cialis\u00e9), une fraction de ce montant est r\u00e9aliste : 1 \u00e0 5 millions d&rsquo;euros selon la complexit\u00e9.<\/p>\n<h2 style=\"margin-top:64px;margin-bottom:20px;padding-top:16px;\">Lectures compl\u00e9mentaires<\/h2>\n<p><a href=\"https:\/\/www.securitytoday.fr\/2026\/03\/12\/nis2-in-deutschland-was-unternehmen-jetzt-wissen-und-umsetzen-muessen\/\" target=\"_blank\" rel=\"noopener\">NIS2 en Allemagne : ce que les entreprises doivent mettre en \u0153uvre maintenant<\/a> (SecurityToday)<\/p>\n<p><a href=\"https:\/\/www.securitytoday.fr\/2026\/01\/22\/incident-response-bsi-cert-dcso-deutschland-reboot-2026\/\" target=\"_blank\" rel=\"noopener\">R\u00e9ponse aux incidents \u00e0 l&rsquo;allemande : BSI et DCSO<\/a> (SecurityToday)<\/p>\n<p><a href=\"https:\/\/www.securitytoday.fr\/2026\/01\/05\/nis2-standortvorteil-cybersecurity-regulierung-deutschland-reboot-2026\/\" target=\"_blank\" rel=\"noopener\">NIS2 comme avantage pour le lieu d&rsquo;implantation<\/a> (SecurityToday)<\/p>\n<p><a href=\"https:\/\/mybusinessfuture.com\/reboot-germany-735-milliarden-mittelstand-investitionen-2026\/\" target=\"_blank\" rel=\"noopener\">Relance de l&rsquo;Allemagne : 735 milliards d&rsquo;investissements<\/a> (MyBusinessFuture)<\/p>\n<p style=\"text-align: right;\"><em>Source de l&rsquo;image : Pexels \/ Pixabay (px:210574)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"3.600 entreprises financi\u00e8res en Allemagne sont soumises \u00e0 une nouvelle r\u00e9glementation sans p\u00e9riode de transition. Le Digital Operational Resilience Act (DORA) est entr\u00e9 en vigueur le 17 janvier 2025 et exige des banques, assureurs et gestionnaires d&rsquo;actifs un niveau de r\u00e9silience num\u00e9rique que beaucoup doivent encore d\u00e9velopper. Selon Advisori, 44 % [&hellip;]","protected":false},"author":55,"featured_media":5510,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"dora","_yoast_wpseo_title":"Implementa\u00e7\u00e3o da DORA: A Regulamenta\u00e7\u00e3o de TI Mais Rigorosa do Setor Financeiro Europeu","_yoast_wpseo_metadesc":"DORA : garantissez la conformit\u00e9 imm\u00e9diate de votre entreprise financi\u00e8re. D\u00e9couvrez les exigences cl\u00e9s et agissez d\u00e8s maintenant.","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":["post_id-5511"],"footnotes":""},"categories":[252,219],"tags":[228],"class_list":["post-8433","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites","category-case-studies","tag-reboot-germany"],"evm_reading_time_minutes":16,"wpml_language":"fr","wpml_translation_of":5511,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8433","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=8433"}],"version-history":[{"count":5,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8433\/revisions"}],"predecessor-version":[{"id":16512,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/8433\/revisions\/16512"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/5510"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=8433"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=8433"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=8433"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}