DORA (Digital Operational Resilience Act)

Le Digital Operational Resilience Act (DORA) est le règlement (UE) 2022/2554 adopté le 14 décembre 2022 et applicable depuis le 17 janvier 2025. Il harmonise les exigences de résilience opérationnelle numérique pour le secteur financier européen.

Périmètre

DORA s’applique à plus de 20 catégories d’entités financières : banques, assureurs, entreprises d’investissement, gestionnaires d’actifs, infrastructures de marché, plateformes de crowdfunding, prestataires de services sur crypto-actifs (CASP). S’y ajoutent les prestataires tiers de services TIC critiques (cloud, datacenters, fournisseurs SaaS) supervisés directement par les autorités européennes.

Cinq piliers

1. Gestion des risques TIC : cadre interne formalisé, validé par l’organe de direction.
2. Reporting d’incidents : signalement obligatoire des incidents majeurs aux autorités compétentes (en France, l’ACPR et l’AMF).
3. Tests de résilience : tests réguliers, dont des tests d’intrusion fondés sur la menace (TLPT) pour les entités significatives.
4. Gestion des risques liés aux tiers TIC : contractualisation, registre des prestataires, droit d’audit.
5. Partage d’informations : mécanismes volontaires d’échange entre acteurs sur les cybermenaces.

Articulation avec NIS2 et le RGPD

• NIS2 : cadre transverse de cybersécurité. DORA est lex specialis pour la finance.
• RGPD : DORA ne se substitue pas à la protection des données personnelles, il s’y ajoute.

Pour les affaires publiques

DORA déclenche une vague de transpositions et de précisions techniques (Q&A AEFM/ABE/AEAPP, RTS et ITS). Les fédérations bancaires, assurantielles et FinTech suivent de près chaque acte délégué. Côté national, les saisines de l’ACPR et de l’AMF sur les modalités de contrôle structurent les obligations effectives.

Sources officielles

• Règlement (UE) 2022/2554 du 14 décembre 2022
• Banque de France — Le règlement DORA
• AEFM / ABE / AEAPP — page DORA