Tenez à jour votre registre d'informations, réalisez des tests de pénétration fondés sur la menace, gérez le risque TIC lié aux tiers et signalez les incidents TIC majeurs — la résilience opérationnelle numérique qu'exige DORA, dans un espace de travail unique.
En vigueur depuis
Applicable depuis le 17 janvier 2025
Qui doit se conformer
Banques, assureurs, entreprises d'investissement et autres entités financières de l'UE — ainsi que leurs prestataires TIC
Sanctions maximales
Jusqu'à 2% du chiffre d'affaires annuel mondial total (art. 50)
DORA s'applique à un large éventail d'entités financières au titre de l'article 2 et inclut dans son champ les prestataires tiers de services TIC, y compris ceux désignés comme critiques. Le principe de proportionnalité s'applique aux micro-entreprises. Il s'agit d'une orientation et non d'un conseil juridique.
DORA unifie la résilience opérationnelle numérique du secteur financier de l'UE autour de cinq piliers :
Gérer un cadre de gestion du risque TIC sous un organe de direction responsable, couvrant la protection, la détection, la réponse et le rétablissement.
Classer les incidents liés aux TIC par gravité et signaler les incidents majeurs à l'autorité compétente au moyen d'un rapport initial, intermédiaire et final.
Maintenir un programme de tests ; les entités importantes réalisent des tests de pénétration fondés sur la menace (TLPT) au moins tous les trois ans.
Gérer le risque TIC lié aux tiers tout au long du cycle de vie, prévoir les clauses contractuelles obligatoires et tenir un registre d'informations sur chaque accord de services TIC.
Transformez les cinq piliers en registres et programmes suivis et étayés par des preuves — sans tableurs.
Construisez et tenez à jour votre registre d'informations de l'article 28 sur tous les accords contractuels TIC, prêt à transmettre à votre autorité.
Planifiez et suivez les tests de pénétration fondés sur la menace sur le cycle pluriannuel, avec le périmètre, les phases et les résultats au même endroit.
Classez les incidents liés aux TIC par gravité et préparez les notifications d'incident majeur attendues par votre autorité compétente.
Réutilisez les contrôles TIC sur NIS2, le règlement IA de l'UE et ISO 42001 grâce au moteur de correspondance des référentiels.
DORA s'applique à un large éventail d'entités financières de l'UE — banques, établissements de paiement et de monnaie électronique, entreprises d'investissement, assureurs et réassureurs, gestionnaires de fonds, dépositaires centraux de titres, plateformes de négociation et prestataires de services sur crypto-actifs — ainsi qu'aux prestataires tiers de services TIC qui les soutiennent, avec un régime de supervision directe de l'UE pour ceux désignés comme critiques.
DORA est entré en vigueur le 16 janvier 2023 et s'applique depuis le 17 janvier 2025.
Au titre de l'article 28, chaque entité financière doit tenir un registre d'informations documentant tous les accords contractuels relatifs à l'utilisation de services TIC fournis par des tiers. Les autorités compétentes peuvent le demander et les entités le leur transmettent chaque année.
Le TLPT (articles 24 à 27) est un test avancé, fondé sur le renseignement, qui simule de véritables attaquants contre des systèmes en production. Les entités financières importantes doivent le réaliser au moins une fois tous les trois ans, selon les normes alignées sur TIBER-EU.
Les États membres fixent des sanctions administratives effectives, proportionnées et dissuasives (article 50) ; un manquement substantiel peut atteindre 2% du chiffre d'affaires annuel mondial total. Pour un prestataire tiers de services TIC critique, le superviseur principal peut imposer des astreintes pouvant atteindre 1% du chiffre d'affaires journalier mondial moyen (article 35, paragraphe 6).
Faites l'auto-évaluation gratuite pour estimer votre préparation à DORA en quelques minutes — sans créer de compte.