Réglementation DORA : comprendre et anticiper les obligations

Depuis le 17 janvier 2025, une nouvelle réglementation européenne transforme la façon dont les institutions financières gèrent leur sécurité informatique. DORA (Digital Operational Resilience Act) impose désormais à toutes les banques, assurances et entreprises financières européennes de renforcer leur protection contre les cyberattaques et d'améliorer la résilience de leurs systèmes informatiques. 

DORA vous concerne si vous travaillez dans une banque, une compagnie d'assurance ou si vous êtes prestataire de services informatiques pour le secteur financier. Les premières échéances approchent rapidement, et l'ESBanque vous aide à comprendre ce qui change vraiment dans vos pratiques quotidiennes. 

Qu'est-ce que la réglementation européenne DORA ? 

Le règlement (UE) 2022/2554 du 14 décembre 2022, communément appelé DORA (Digital Operational Resilience Act), constitue la première réglementation européenne unifiée en matière de résilience opérationnelle numérique pour le secteur financier. Cette initiative législatique majeure répond à l'exposition croissante des entités financières aux cybermenaces et aux dysfonctionnements des systèmes informatiques. 

DORA établit un cadre de gouvernance harmonisé à l'échelle de l'Union européenne, remplaçant la fragmentation réglementaire antérieure par des exigences réglementaires communes. Le règlement impose aux établissements de crédit, entreprises d'assurance et prestataires tiers de services TIC (Technologies de l'information et de la communication), des dispositions strictes en matière de gestion des risques numériques. 

L'objectif principal vise à garantir la continuité des activités financières face aux incidents cyber, tout en renforçant la supervision des fonctions critiques externalisées auprès de tiers technologiques. 

Le principe de proportionnalité guide l'application des normes techniques de réglementation, permettant aux États membres d'adapter les exigences selon les seuils d'importance significative de chaque institution. 

Les enjeux clés de la résilience opérationnelle numérique 

Renforcement de la cybersécurité financière 

Les autorités compétentes européennes imposent désormais aux entités financières des règles strictes en matière de protection des données et de sécurité des réseaux. Cette mise en conformité répond aux conséquences économiques croissantes des cyberattaques, qui représenteraient plus de 2,8 milliards d'euros de pertes dans le secteur financier européen en 2024. 

Harmonisation des pratiques européennes 

L'harmonisation des pratiques à l'échelle de l'Union européenne constitue l'un des apports majeurs du règlement DORA. Les normes techniques de réglementation (RTS) élaborées par les trois autorités européennes de supervision (EBA, EIOPA, ESMA) établissent des critères de désignation uniformes pour la classification des incidents et les tests de pénétration. 

Cette convergence réglementaire permet aux institutions opérant dans plusieurs États membres de bénéficier d'un cadre harmonisé unique, réduisant les coûts de conformité transfrontalière.  

Métiers et secteurs concernés par la mise en conformité DORA 

La réglementation DORA s'applique à un périmètre étendu de 21 catégories d'entités financières, représentant plus de 22 000 institutions au sein de l'Union européenne selon les données du Comité européen du risque systémique. Cette couverture exhaustive vise à garantir une résilience opérationnelle numérique homogène dans l'ensemble de l'écosystème financier européen. 

Les secteurs directement concernés

• Secteur bancaire : établissements de crédit, banques d'investissement, banques coopératives et mutuelles
• Secteur de l'assurance : compagnies d'assurance vie, assurance IARD, institutions de retraite professionnelle
• Services financiers : entreprises d'investissement, sociétés de gestion de portefeuille, conseillers en investissements financiers
• Infrastructures de marché : bourses de valeurs, chambres de compensation, systèmes de règlement-livraison
• Services de paiement : établissements de paiement, institutions de monnaie électronique, prestataires de services de paiement
• Crypto-actifs : prestataires de services sur crypto-actifs (PSAN) agréés
• Prestataires TIC critiques : fournisseurs cloud, éditeurs de logiciels, hébergeurs de données 

Les métiers opérationnels impactés 

• Direction des risques : responsables de la gestion des risques TIC, risk managers spécialisés cyber
• Sécurité informatique : RSSI, analystes cybersécurité, experts en tests de pénétration
• Conformité réglementaire : responsables conformité, juristes spécialisés réglementation financière
• Systèmes d'information : DSI, architectes systèmes, administrateurs réseaux
• Continuité d'activité : responsables PCA/PRA, gestionnaires de crise opérationnelle
• Relations tiers : responsables achats TIC, gestionnaires de contrats prestataires 

Cette approche sectorielle reflète l'interdépendance croissante entre les technologies de l'information et les fonctions critiques du secteur financier, nécessitant une coordination renforcée entre tous les acteurs de la chaîne de valeur numérique. 

Un principe de proportionnalité selon la taille des entités

Ce principe permet aux entités financières d'adapter l'intensité de leurs mesures de conformité en fonction de plusieurs critères déterminants : 

• Taille de l'institution : chiffre d'affaires, nombre de salariés, volume d'activité
• Complexité opérationnelle : nombre de services TIC, étendue géographique, diversité des activités
• Profil de risque : exposition aux cybermenaces, criticité des systèmes, dépendances technologiques
• Impact systémique : interconnexions avec d'autres institutions, rôle dans l'écosystème financier 

Régimes simplifiés pour les petites entités 

Les micro-entreprises financières, définies par l'article 3(60) de DORA, bénéficient de dispositions allégées significatives : 

• Fréquence réduite des tests de résilience opérationnelle numérique
• Obligations documentaires simplifiées pour la gestion des risques TIC
• Seuils adaptés pour la notification des incidents majeurs
• Exemptions partielles sur certaines exigences de gouvernance 

Normes techniques proportionnelles 

Les autorités européennes de supervision (EBA, EIOPA, ESMA) élaborent des normes techniques de réglementation intégrant ce principe de proportionnalité à travers : 

• Seuils d'importance significative modulés selon la taille des institutions
• Critères de désignation différenciés pour les prestataires TIC critiques
• Modalités d'application graduées des obligations de reporting
• Calendriers de mise en conformité adaptés aux capacités organisationnelles 

Cette approche proportionnelle garantit que les exigences réglementaires demeurent opérationnellement réalisables tout en maintenant un niveau de sécurité adéquat pour l'ensemble de l'écosystème financier européen.
 

Lire aussi 
Le règlement DORA change-t-il la donne en matière de gouvernance des risques liés aux Technologies de l’Information et de la Communication ? 

Quels sont les 5 piliers du règlement DORA ? 

1. Gestion des risques liés aux TIC 

La gestion des risques liés aux TIC constitue le premier pilier opérationnel du règlement DORA, exigeant des entités financières la mise en place d'un cadre de gouvernance robuste et documenté. Cette approche systémique impose l'identification, l'évaluation et la maîtrise de tous les risques numériques susceptibles d'affecter la continuité des activités. 

Les institutions doivent établir des politiques de sécurité couvrant la protection des systèmes d'information, la gestion des accès et la sauvegarde des données critiques. Le cadre de gestion inclut obligatoirement des procédures de surveillance continue, des indicateurs de performance et un plan de réponse aux incidents actualisé annuellement. 

2. Gestion, classification et notification des incidents majeurs 

En ce qui concerne le second pilier, les entités financières doivent déclarer tout incident majeur lié aux TIC à leur autorité compétente selon un processus rigoureux en trois étapes. La notification initiale intervient dans les 4 heures suivant la classification de l'incident, suivie d'un rapport intermédiaire puis d'un rapport final dans un délai maximum d'un mois. 

L'ACPR adopte une interprétation extensive de la notion d'incident majeur, considérant qu'un seul critère de gravité suffit pour déclencher l'obligation déclarative. Cette approche contraste avec l'AMF qui exige la réunion de plusieurs conditions cumulatives pour qualifier un événement de majeur. 

Le règlement délégué (UE) 2024/1772 précise les critères de classification et les seuils d'importance significative permettant aux institutions de déterminer objectivement le caractère majeur d'un incident. Cette harmonisation européenne facilite la surveillance coordonnée des risques cyber dans l'écosystème financier. 

3. Tests de résilience opérationnelle numérique 

Le 3ème pilier de DORA, consacré aux tests de résilience opérationnelle numérique, représente une innovation majeure du cadre réglementaire, exigeant des institutions une approche méthodique et documentée de leurs vulnérabilités informatiques.  

La fréquence minimale annuelle s'accompagne d'une obligation de traçabilité complète des résultats et mesures correctives mises en œuvre. Les micro-entreprises bénéficient d'un régime allégé, tandis que les institutions d'importance systémique doivent intégrer des scénarios de cyberattaques sophistiqués dans leurs campagnes d'évaluation. 

4. Gestion des risques liés aux prestataires tiers de services TIC 

Le quatrième pilier de DORA établit un cadre de supervision renforcé des prestataires tiers de services TIC, reconnaissant leur rôle critique dans l'écosystème financier européen. Les entités financières doivent désormais mettre en place une gouvernance structurée de leurs relations avec ces prestataires, incluant une évaluation rigoureuse de leur niveau de sécurité et de résilience opérationnelle. 

Cette obligation impose aux institutions la réalisation d'audits annuels de leurs fournisseurs TIC critiques, l'intégration de clauses contractuelles spécifiques garantissant la continuité de service et la mise en œuvre de stratégies de sortie documentées. Les prestataires tiers critiques, identifiés selon des critères de désignation européens, font l'objet d'une supervision directe par les autorités compétentes et peuvent être sanctionnés par des amendes représentant jusqu'à 1% de leur chiffre d'affaires journalier moyen. 

Le registre d'information obligatoire doit recenser exhaustivement tous ces prestataires avec leur niveau de criticité, créant ainsi une cartographie complète des dépendances technologiques de votre établissement. 

5. Partage d'informations sur les cybermenaces 

Le cinquième pilier de DORA instaure un mécanisme européen de partage d'informations entre entités financières pour renforcer collectivement leur résilience face aux cybermenaces. Cette coopération structurée permet aux institutions de bénéficier mutuellement de leurs renseignements sur les cybermenaces et vulnérabilités identifiées, créant ainsi un écosystème de sécurité collaborative. 

Les arrangements de partage d'informations doivent respecter des exigences de confidentialité strictes et faire l'objet d'une notification préalable aux autorités compétentes. Ces mécanismes couvrent les indicateurs de compromission, les techniques d'attaque émergentes et les mesures de protection éprouvées, permettant une réponse coordonnée aux menaces cyber à l'échelle européenne. 

Échéances 2025 et obligations ACPR 

Depuis le 17 janvier 2025, les établissements financiers français font face à des échéances réglementaires strictes sous la supervision de l'ACPR. La remise du registre d'information constitue la première obligation majeure avec une date limite fixée au 15 avril 2025. 

Ce registre recense exhaustivement tous les prestataires de services TIC et doit être transmis via le portail OneGate de la Banque de France. L'ACPR exige une remise sur base individuelle ou consolidée selon la structure du groupe, avec des règles de validation spécifiques appliquées par l'Autorité Bancaire Européenne. 

Sanctions et contrôles réglementaires 

Les autorités compétentes disposent de pouvoirs étendus pour sanctionner les manquements aux obligations DORA, incluant des amendes administratives pouvant atteindre 10 millions d'euros ou 5% du chiffre d'affaires annuel mondial selon la gravité des infractions constatées. 

L'ACPR et l'AMF peuvent prononcer des mesures correctives immédiates, des injonctions de mise en conformité et des suspensions temporaires d'activités en cas de défaillances critiques dans la gestion des risques TIC. 

DORA, une exigence réglementaire  

Face à ces obligations réglementaires majeures et aux échéances imminentes, la maîtrise du règlement DORA devient un enjeu stratégique.  

Ne laissez pas DORA devenir un frein à votre activité. L'ESBanque vous accompagne dans cette transition réglementaire complexe.  

Notre conférence du 13 novembre 2025 vous permettra de décoder les aspects pratiques de DORA et d'identifier vos priorités d'action. Rejoignez-nous pour transformer cette contrainte réglementaire en opportunité de renforcement de votre résilience opérationnelle. 

Je m'inscris à la conférence