ACFACF ComplianceAI Governance
ProduitCouvertureACF StandardTarifsDiagnostic FlashContactSe connecter
Démarrer gratuitement
Retour à la couverture
Règlement (UE) 2022/2554

DORA

Digital Operational Resilience Act

EUEEAVoir la régulation officielle
articles documentés
10
obligations actionnables
11
niveaux de sanction
3
En vigueur depuis
2025-01-17

Périmètre d'application

Entités concernées

  • credit_institution
  • payment_institution
  • electronic_money_institution
  • investment_firm
  • crypto_asset_service_provider
  • central_securities_depository
  • central_counterparty
  • trading_venue
  • trade_repository
  • manager_of_alternative_investment_funds
  • management_company_ucits
  • data_reporting_service_provider
  • insurance_undertaking
  • reinsurance_undertaking
  • insurance_intermediary
  • institution_for_occupational_retirement_provision
  • credit_rating_agency
  • statutory_auditor
  • administrator_of_critical_benchmarks
  • crowdfunding_service_provider
  • securitisation_repository
  • ict_third_party_service_provider

Seuils d'application

  • Toutes les entités financières listées à l'art. 2(1) DORA, sans seuil minimum (régime proportionné, art. 4)
  • Les fournisseurs tiers de services TIC (« ICT third-party service providers ») désignés comme fournisseurs critiques (« CTPP » - Critical Third-Party Providers) par les autorités européennes de surveillance (AES) sont soumis au cadre de surveillance directe (chap. V titre II)

Exemptions

  • Microentreprises soumises à un régime simplifié de gestion du risque TIC (art. 16)
  • Entités visées à l'art. 2(3) (par ex. certaines IORP de très petite taille)
Articles clés

10 articles documentés

Articles structurants documentés dans la cartographie ACF.

Art. 5-6

Cadre de gestion du risque TIC

L'organe de direction est ultime responsable. Cadre formel écrit, revu au moins annuellement, incluant stratégie, gouvernance, rôle et responsabilités.

Obligations
  • Établir un cadre écrit de gestion du risque TIC validé par l'organe de direction
  • Réviser le cadre au moins une fois par an et après incident majeur
  • Allouer un budget approprié à la sécurité et à la résilience numérique
Art. 8

Identification

Identifier, classifier et documenter en continu toutes les fonctions critiques ou importantes, leurs dépendances, et les actifs TIC qui les supportent. Cartographie à jour.

Obligations
  • Tenir une cartographie à jour des fonctions critiques et des actifs TIC
  • Identifier les sources de risque TIC (interne, externe, géographique)
  • Documenter les dépendances avec les fournisseurs tiers
Art. 9-10

Protection et prévention / Détection

Mesures techniques et organisationnelles : architecture sécurisée, gestion des identités/accès, chiffrement, protocoles ; mécanismes de détection en temps réel des activités anormales.

Obligations
  • Mettre en place architecture sécurisée multi-couches
  • Gérer identités et accès (least privilege, MFA pour accès sensibles)
  • Détecter les activités anormales et incidents en temps réel
Art. 11-12

Response and recovery / Backup and restoration

Politiques de continuité TIC, plans de reprise, sauvegardes et restaurations testées régulièrement. RTO/RPO définis pour les fonctions critiques.

Obligations
  • Documenter politiques de continuité TIC et plans de DRP
  • Sauvegarder les données critiques selon une politique formalisée
  • Tester régulièrement la restauration et la reprise
Art. 17-23

Gestion, classification et notification des incidents liés aux TIC

Classification des incidents (critère de gravité ESA harmonisé), seuils de notification, rapports initiaux/intermédiaires/finaux à l'autorité compétente, et communication aux clients quand pertinent.

Obligations
  • Définir une classification harmonisée des incidents
  • Soumettre rapport initial dans les délais fixés (RTS DORA)
  • Soumettre rapport intermédiaire et rapport final selon la timeline
Art. 24-27

Tests de résilience opérationnelle numérique

Programme de tests proportionné (vulnerability scan, scenario testing, penetration testing). Pour entités significatives : Threat-Led Penetration Testing (TLPT) tous les 3 ans.

Obligations
  • Établir un programme de tests pluriannuel
  • Réaliser un TLPT au moins tous les 3 ans pour les entités désignées
  • Documenter les résultats et plans de remédiation
Art. 28-30

Gestion du risque lié aux fournisseurs tiers TIC

Stratégie tiers TIC, due diligence préalable, registres des accords contractuels, clauses minimales obligatoires (art. 30), notification à l'autorité avant tout accord supportant une fonction critique.

Obligations
  • Adopter une stratégie de gestion du risque tiers TIC (art. 28)
  • Réaliser une due diligence préalable proportionnée au risque
  • Tenir un registre des accords contractuels (RTS DORA Art. 28(3))
  • Insérer les clauses obligatoires de l'art. 30 (accès, audit, exit strategy, sécurité)
Art. 31-44

Cadre de surveillance des fournisseurs tiers TIC critiques (« CTPP »)

Les fournisseurs tiers TIC désignés critiques (« Critical Third-Party Providers » / CTPP) par les autorités européennes de surveillance sont supervisés directement par un superviseur principal (« Lead Overseer »). Pouvoirs d'enquête, demandes d'information, recommandations, sanctions.

Obligations
  • Coopérer avec le superviseur principal (« Lead Overseer ») pour les CTPP désignés
  • Pour les entités financières : tenir compte des recommandations du superviseur principal (« Lead Overseer »)
  • Documenter la dépendance critique et les plans de sortie
Art. 45-49

Partage d'information sur les cyber-menaces

Dispositif volontaire de partage de cyber threat intelligence entre entités financières dans le respect des règles concurrence et données personnelles.

Obligations
  • Évaluer la pertinence de rejoindre un mécanisme de partage
  • Si participation : encadrer les flux d'information (NDA, anonymisation)
Art. 50-57

Sanctions et régime de surveillance

Pouvoirs d'enquête, d'inspection sur place, et sanctions administratives par les autorités compétentes nationales. Sanctions pécuniaires périodiques (1 % du CA quotidien moyen) pour les CTPP en cas de non-conformité.

Obligations
  • Coopérer avec les autorités compétentes
  • Mettre en œuvre les mesures correctives dans les délais imposés
Obligations transverses

11 obligations actionnables

Obligations actionnables catégorisées : documentation, process, technique, gouvernance, notification.

  • GouvernanceArt. 5

    Faire approuver le cadre de gestion du risque TIC par l'organe de direction (art. 5)

  • DocumentationArt. 8

    Tenir une cartographie à jour des fonctions critiques et des actifs TIC (art. 8)

  • TechniqueArt. 9 · Art. 10 · Art. 11 · Art. 12

    Mettre en place mesures de protection / détection / response / recovery (art. 9-12)

  • NotificationArt. 17 · Art. 18 · Art. 19 · RTS DORA incidents

    Classifier et notifier les incidents TIC majeurs aux autorités compétentes (art. 17-19)

  • ProcessArt. 24 · Art. 25 · Art. 26

    Tester régulièrement la résilience opérationnelle numérique (art. 24-26)

  • ProcessArt. 26 · Art. 27

    Réaliser un Threat-Led Penetration Testing (TLPT) tous les 3 ans (art. 26-27)

    Si : entité désignée par autorité compétente comme significative

  • GouvernanceArt. 28

    Adopter une stratégie de gestion du risque tiers TIC (art. 28)

  • DocumentationArt. 28

    Tenir un registre des accords contractuels TIC (art. 28(3))

  • GouvernanceArt. 30

    Inclure les clauses obligatoires DORA dans les contrats tiers TIC (art. 30)

  • GouvernanceArt. 28

    Notifier l'autorité compétente avant tout accord supportant une fonction critique (art. 28(3))

  • ProcessArt. 28

    Documenter et tester une stratégie de sortie pour les fournisseurs critiques TIC (art. 28(8))

Sanctions

Montants maximaux applicables selon les articles fixés par le texte.

Base légale · Art. 50, Art. 51, Art. 52
Variable selon la transposition nationale et la nature de l'entité ; les autorités compétentes nationales peuvent imposer des astreintes et sanctions administratives proportionnées

Sanctions administratives applicables aux entités financières (montants fixés par les États membres dans les limites DORA)

Base légale · Art. 35(6)
1 % du CA quotidien mondial moyen du CTPP ; applicable au maximum 6 mois après la décision

Astreintes périodiques imposées aux fournisseurs tiers TIC critiques (« CTPP ») par le superviseur principal (« Lead Overseer ») en cas de non-conformité

Base légale · Art. 51
Déterminées par les autorités nationales selon principes de l'art. 51 (effectif, dissuasif, proportionné)

Sanctions administratives pour absence de coordination ou refus d'enquête

Articulation avec l'AI Act

DORA et l'AI Act se rencontrent lorsque qu'une entité financière déploie un système IA (ex : scoring crédit, KYC, AML, détection de fraude). Articulation pratique : (1) la gestion du risque TIC DORA (art. 5-6) doit intégrer les risques IA spécifiques (model drift, hallucinations, biais) ; (2) la gestion des fournisseurs tiers TIC DORA (art. 28-30) recouvre les fournisseurs de modèles GPAI au sens AI Act art. 53, avec nécessité d'inclure les clauses minimales DORA art. 30 ET les clauses GPAI ; (3) les obligations de testing DORA (TLPT, art. 26) sont complémentaires aux exigences d'évaluation AI Act art. 9 et 15 (précision, robustesse, cybersécurité) ; (4) la classification d'incident DORA s'applique aux incidents IA côté opérations financières, en plus du reporting AI Act art. 73.

Retour à /coverageLancer le Diagnostic FlashDiscuter de votre périmètre
DORA (Règlement (UE) 2022/2554) — ACF Compliance | ACF Compliance