Aller au contenu

Contenu généré par IA: Les réponses sont générées par une IA, assemblées automatiquement et peuvent contenir des erreurs. Conformi est un outil de recherche et ne remplace pas un conseil juridique ou un examen juridique au cas par cas. Toutes les réponses doivent être vérifiées à l’aide des sources originales liées.

Conformi/Knowledge Base/Cybersécurité/DORA
🛡️Cybersécurité & IT

DORA : Règlement sur la résilience opérationnelle numérique du secteur financier (UE) 2022/2554

Analyse du 17 avril 20263 sourcesVersion consolidée du 27.12.2022 (version originale, rectificatifs C1 et C2 intégrés)EUR-Lex Original

Mon établissement financier est-il prêt pour un incident cyber majeur, et que risque-t-on si l'autorité de surveillance constate des lacunes dans notre cadre TIC ?

Le règlement DORA est applicable depuis le 17 janvier 2025 : toute entité financière de l'UE qui n'a pas mis en place un cadre de gestion du risque TIC conforme s'expose à des sanctions administratives fixées par l'État membre, et les prestataires tiers critiques risquent une astreinte journalière pouvant atteindre 1 % de leur chiffre d'affaires mondial [Art. 35 par. 8].

Réponse courte

DORA impose aux entités financières un cadre uniforme de gestion du risque lié aux TIC couvrant la gouvernance, la notification d'incidents, les tests de résilience et la gestion des prestataires tiers [Art. 1er]. L'organe de direction porte la responsabilité finale du cadre de risque TIC et doit en approuver la stratégie, y compris la politique multi-fournisseurs [Art. 5 par. 2]. Les incidents majeurs doivent être notifiés à l'autorité compétente dans les délais fixés par les normes techniques de réglementation, avec un rapport initial, un rapport intermédiaire et un rapport final [Art. 19 par. 4]. Les entités identifiées par l'autorité compétente doivent en outre effectuer des tests d'intrusion fondés sur la menace (TLPT) au moins tous les trois ans [Art. 26 par. 1].

Concernés

Toutes les entités financières au sens de l'article 2, paragraphe 1 : établissements de crédit, établissements de paiement, entreprises d'investissement, entreprises d'assurance et de réassurance, sociétés de gestion, contreparties centrales, dépositaires centraux de titres, prestataires de services sur crypto-actifs, institutions de retraite professionnelle, agences de notation, prestataires de services de financement participatif, ainsi que les prestataires tiers de services TIC. Exceptions : microentreprises (cadre simplifié, Art. 16), gestionnaires de fonds alternatifs sous seuil, petits intermédiaires d'assurance PME [Art. 2 par. 3].

Échéance

Le règlement est pleinement applicable depuis le 17 janvier 2025 [Art. 64]. Obligation permanente : notification initiale des incidents majeurs dans les délais fixés par les RTS de l'article 20, tests annuels des systèmes critiques [Art. 24 par. 6], TLPT au moins tous les trois ans pour les entités désignées [Art. 26 par. 1]. Prochaine échéance institutionnelle : réexamen par la Commission au plus tard le 17 janvier 2028 [Art. 58 par. 1].

Risque

Les sanctions sont déterminées par chaque État membre : les autorités compétentes disposent de pouvoirs d'injonction, de cessation et de mesures de nature pécuniaire [Art. 50 par. 4]. Pour les prestataires tiers critiques de services TIC, le superviseur principal peut imposer une astreinte journalière plafonnée à 1 % du chiffre d'affaires quotidien moyen mondial de l'exercice précédent, pendant un maximum de six mois [Art. 35 par. 6 à 8]. Les sanctions sont publiées sur le site de l'autorité compétente [Art. 53 par. 1]. Les États membres peuvent également prévoir des sanctions pénales [Art. 52].

Preuves

Statut juridique

  • En vigueur
  • au 2026-04-17
  • Version consolidée du 27.12.2022 (version originale, rectificatifs C1 et C2 intégrés)

Sources primaires

  • EUR-LexTexte intégral du règlement DORA
  • AMFAutorité des marchés financiers
  • ACPRAutorité de contrôle prudentiel et de résolution

À faire maintenant

Juridique / DPO

  • Vérifier que tous les accords contractuels TIC contiennent les clauses obligatoires de l'article 30, y compris les droits d'accès, d'inspection et d'audit, et mettre à jour le registre d'informations requis par l'article 28, paragraphe 3 [Art. 28 par. 3, Art. 30].
  • Documenter les stratégies de sortie pour chaque prestataire TIC soutenant des fonctions critiques, conformément aux exigences de l'article 28, paragraphe 8, et préparer les scénarios de résiliation prévus à l'article 28, paragraphe 7 [Art. 28 par. 7-8].
  • Évaluer les obligations de notification d'incidents auprès de l'autorité compétente nationale et mettre en place la chaîne de déclaration initiale/intermédiaire/finale en conformité avec les délais des normes techniques [Art. 19 par. 4, Art. 20].

Conformité

  • Établir et maintenir le cadre de gestion du risque TIC avec une revue annuelle formelle par l'organe de direction, incluant la cartographie des actifs TIC et l'évaluation des systèmes hérités [Art. 5 par. 2, Art. 6, Art. 8].
  • Mettre en place le registre d'informations sur les accords contractuels TIC et le transmettre annuellement à l'autorité compétente avec le nombre de nouveaux accords et les catégories de prestataires [Art. 28 par. 3].
  • Déployer un programme de tests de résilience opérationnelle numérique couvrant au moins annuellement tous les systèmes critiques, avec tests de vulnérabilité, de scénarios et de performance [Art. 24 par. 6, Art. 25].

IT / Sécurité

  • Mettre en oeuvre le processus de gestion des incidents TIC avec indicateurs d'alerte précoce, classification selon les critères de l'article 18, et procédures de réponse documentées [Art. 17, Art. 18].
  • Préparer et exécuter les tests d'intrusion fondés sur la menace (TLPT) au moins tous les trois ans sur les systèmes de production soutenant les fonctions critiques, en faisant appel à des testeurs qualifiés conformes à l'article 27 [Art. 26 par. 1-2, Art. 27].
  • Évaluer le risque de concentration TIC lié aux prestataires tiers et documenter les dépendances critiques, y compris les sous-traitants de TIC établis dans des pays tiers [Art. 29, Art. 28 par. 4].

Produit / Ingénierie

  • Intégrer les exigences de résilience opérationnelle numérique dès la conception des services financiers numériques : politiques de continuité des activités TIC, plans de réponse et de rétablissement testés annuellement [Art. 11, Art. 12].
  • Assurer la portabilité des données et des applications dans les contrats avec les prestataires cloud et TIC critiques, en prévoyant des périodes de transition adéquates lors de toute migration [Art. 28 par. 8, Art. 30 par. 2].
  • Recenser et évaluer les systèmes de TIC hérités au moins une fois par an et avant toute connexion de nouvelles technologies, afin de garantir qu'ils ne compromettent pas la résilience opérationnelle globale [Art. 8 par. 7].

Termes clés

Résilience opérationnelle numérique
Capacité d'une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant l'intégralité des capacités TIC nécessaires à la sécurité des réseaux et systèmes d'information [Art. 3 par. 1].
Incident majeur lié aux TIC
Incident lié aux TIC ayant une incidence négative élevée sur les réseaux et systèmes d'information soutenant les fonctions critiques ou importantes de l'entité financière [Art. 3 par. 10].
Test d'intrusion fondé sur la menace (TLPT)
Cadre simulant les tactiques, techniques et procédures d'acteurs de la menace réels, permettant de tester de manière contrôlée et en mode red team les systèmes critiques en environnement de production [Art. 3 par. 17].
Prestataire tiers critique de services TIC
Prestataire tiers de services TIC désigné comme critique par les autorités européennes de surveillance conformément aux critères de l'article 31, soumis au cadre de supervision directe [Art. 3 par. 23].
Risque de concentration TIC
Exposition à des prestataires tiers critiques créant un degré de dépendance tel que leur indisponibilité pourrait compromettre les fonctions critiques de l'entité ou la stabilité financière de l'Union [Art. 3 par. 29].
Fonction critique ou importante
Fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d'une entité ou à la continuité de ses services, ou de compromettre le respect permanent de ses obligations réglementaires [Art. 3 par. 22].
Système de TIC hérité
Système de TIC ayant atteint la fin de son cycle de vie, ne se prêtant plus à des mises à jour ou corrections, mais toujours utilisé pour soutenir les fonctions de l'entité financière [Art. 3 par. 3].
?

Questions fréquentes

Quelles entités financières sont concernées par DORA ?
Le règlement s'applique à 21 catégories d'entités financières, dont les établissements de crédit, les entreprises d'investissement, les entreprises d'assurance, les sociétés de gestion, les contreparties centrales et les prestataires de services sur crypto-actifs [Art. 2 par. 1]. Les prestataires tiers de services TIC sont également visés.
Les microentreprises sont-elles exemptées de DORA ?
Non, mais elles bénéficient d'un cadre simplifié de gestion du risque TIC prévu à l'article 16, et sont dispensées des exigences complètes des articles 5 à 15 ainsi que de l'obligation de réaliser des TLPT [Art. 16 par. 1, Art. 26 par. 1].
À quelle fréquence les tests de résilience doivent-ils être effectués ?
Les systèmes et applications soutenant des fonctions critiques ou importantes doivent être testés au moins une fois par an [Art. 24 par. 6]. Les tests d'intrusion fondés sur la menace (TLPT) doivent être réalisés au moins tous les trois ans par les entités désignées par l'autorité compétente [Art. 26 par. 1].
Quelles sont les obligations de notification en cas d'incident TIC majeur ?
L'entité financière doit soumettre à l'autorité compétente une notification initiale, un rapport intermédiaire dès que la situation évolue, et un rapport final une fois l'analyse des causes terminée [Art. 19 par. 4]. Les clients dont les intérêts sont affectés doivent également être informés sans retard injustifié [Art. 19 par. 3].
Qu'est-ce que le registre d'informations sur les prestataires tiers TIC ?
Chaque entité financière doit tenir un registre documentant tous les accords contractuels TIC avec des prestataires tiers, en distinguant ceux soutenant des fonctions critiques. Ce registre doit être mis à disposition de l'autorité compétente sur demande et les données clés communiquées au moins annuellement [Art. 28 par. 3].
Quelle est la sanction maximale pour un prestataire tiers critique ?
Le superviseur principal peut imposer une astreinte journalière atteignant 1 % du chiffre d'affaires quotidien moyen mondial de l'exercice précédent, pour une durée maximale de six mois [Art. 35 par. 6-8]. Les sanctions sont publiées sauf si la publication perturberait les marchés financiers [Art. 35 par. 10].
DORA remplace-t-elle la directive NIS2 pour les entités financières ?
DORA constitue un acte juridique sectoriel (lex specialis) au sens de l'article 4 de la directive (UE) 2022/2555 (NIS2) pour les entités financières identifiées comme essentielles ou importantes [Art. 1er par. 2]. Les exigences DORA prévalent donc, mais les obligations NIS2 restent complémentaires pour les aspects non couverts.
3

Facteurs d’évaluation et liste de contrôle

Premium
Essai gratuit 7 jours
4

Questions pour votre avocat

Premium
Essai gratuit 7 jours
5

Conclusion et résumé

Premium
Essai gratuit 7 jours

Analyse détaillée avec liens sources.

Schalten Sie die KI-Analyse frei — mit markierten Fundstellen und direkten Links zu EUR-Lex. 7 Tage kostenlos testen.

Essai gratuit 7 jours

Keine Kreditkarte heute. Kündigung jederzeit.