L’essentiel à savoir
Avant de poursuivre, consultez « dossiers détaillés FinlandCOE », avec exemples concrets et check-list prête à l’emploi.
Le règlement DORA impose des obligations strictes aux entités financières européennes depuis janvier 2025.
- Échéances critiques : Remise du registre d’informations avant le 31 mars 2025, notification des incidents majeurs sous 4 heures et tests de résilience annuels obligatoires
- Sanctions importantes : Jusqu’à 10 millions d’euros ou 5% du chiffre d’affaires, avec possibilité de retrait d’agrément en cas de non-conformité grave
- Périmètre étendu : Tous les établissements financiers, organismes d’assurance, sociétés de gestion et prestataires crypto-actifs sauf micro-entreprises exemptées
- Gouvernance renforcée : Cadre de gestion des risques TIC avec implication directe des organes dirigeants et politique de sécurité documentée
- Gestion des prestataires : Registre standardisé en 15 modèles, notification préalable des accords critiques et supervision européenne des prestataires systemiques
Pour une vue globale, appuyez-vous sur « numérique accessibilite », avec critères de conformité et actions clés.
Le règlement DORA (Digital Operational Resilience Act) représente une révolution dans la supervision des entités financières européennes. Applicable depuis le 17 janvier 2025, cette réglementation impose des obligations strictes en matière de résilience opérationnelle numérique. Les sanctions peuvent atteindre 10 millions d’euros ou 5% du chiffre d’affaires annuel, rendant la conformité absolument cruciale. Nous avons analysé l’ensemble des exigences pour vous proposer une check-list complète permettant d’assurer votre conformité réglementaire tout au long de 2025. Cette approche méthodique vous accompagnera dans la mise en œuvre effective de toutes les obligations DORA.
Obligations fondamentales et échéances critiques DORA 2025
Calendrier d’application et dates butoirs incontournables
Le règlement DORA structure l’année 2025 autour d’échéances non négociables que toutes les entités financières doivent respecter scrupuleusement. La première date critique correspond au 31 mars 2025, délai impératif pour la remise du registre d’informations à l’ACPR concernant les données au 31 décembre 2024. Cette obligation concerne l’intégralité des établissements financiers soumis au règlement, sans exception possible.
Une seconde échéance intervient le 15 avril 2025 pour certaines catégories spécifiques d’institutions financières. Cette date correspond à la remise complémentaire de registres d’information selon des modalités particulières définies par l’ACPR. Le non-respect de ces délais expose les entités à des sanctions financières immédiates, pouvant également entraîner des restrictions opérationnelles jusqu’à obtention de la conformité.
Nous observons que plusieurs normes techniques ont été finalisées tardivement en décembre 2024, compliquant la préparation des entreprises. Deux normes restent encore en attente début 2025, créant une incertitude réglementaire pour certaines obligations spécifiques. Cette situation impose aux entités financières une vigilance accrue et une adaptation continue de leurs dispositifs de conformité. Avant de poursuivre, examinez « obligations légales d’accessibilité numérique pratique », avec méthodologie simple et points d’attention.
| Date limite | Obligation | Entités concernées | Modalités |
|---|---|---|---|
| 31 mars 2025 | Remise registre d’informations | Toutes entités DORA | Données 2024 via OneGate |
| 15 avril 2025 | Registres complémentaires ACPR | Entités spécifiques | Format CSV, portail ACPR |
| 1er juillet 2025 | Notification partage cyber-informations | Entités participantes | Formulaire OneGate |
| 30 septembre 2025 | Déclaration dispositifs préexistants | Entités avec arrangements | Notification obligatoire |
Périmètre d’application et entités concernées
Le règlement DORA s’applique à un périmètre étendu d’entités financières établies dans l’Union européenne. Nous recensons ainsi les établissements de crédit, à l’exception de ceux classés comme importants sous supervision directe de la BCE, les entreprises d’investissement, les établissements de paiement et de monnaie électronique, ainsi que les prestataires de services d’information sur les comptes.
Les organismes d’assurance et de réassurance soumis au régime Solvabilité II entrent également dans ce périmètre, de même que les intermédiaires d’assurance, réassurance et à titre accessoire. Les sociétés de gestion de portefeuille et gestionnaires de fonds d’investissement alternatifs complètent cette liste, aux côtés des dépositaires centraux de titres et contreparties centrales.
Les plateformes de négociation et infrastructures de marché sont concernées, ainsi que les émetteurs de jetons référençant des actifs, les organismes de retraite professionnelle supplémentaire et les fournisseurs de services sur crypto-actifs. Cette étendue témoigne de la volonté européenne de couvrir l’ensemble des services financiers susceptibles de présenter des risques systémiques.
Des exceptions importantes bénéficient aux microentreprises (moins de 10 personnes, chiffre d’affaires ou bilan inférieur à 2 millions d’euros), aux petites entreprises (10 à 50 personnes, chiffre d’affaires ou bilan entre 2 et 10 millions d’euros) et aux moyennes entreprises (moins de 250 personnes, chiffre d’affaires sous 50 millions d’euros, bilan sous 43 millions d’euros).
Cadre de gouvernance et politique de gestion des risques TIC
L’établissement d’un cadre de gouvernance constitue le fondement de la conformité DORA. Ce dispositif doit intégrer des stratégies, politiques, procédures et protocoles TIC adaptés à la nature et à la complexité des activités de l’entité. Nous constatons que cette approche nécessite une implication directe des organes de direction dans la supervision des risques liés aux TIC.
La politique de sécurité de l’information représente un élément central de ce cadre. Elle doit définir des règles précises pour protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Cette politique s’appuie sur une approche fondée sur les risques, intégrant des mécanismes de détection des activités anormales et des incidents TIC.
Les systèmes TIC doivent présenter des caractéristiques d’appropriation, de fiabilité et de résilience adaptées aux besoins opérationnels. La mise à jour régulière des systèmes, protocoles et outils constitue une obligation permanente, nécessitant des procédures documentées et des contrôles périodiques. Cette maintenance proactive vise à prévenir les vulnérabilités et à maintenir un niveau de sécurité optimal.
L’identification et évaluation des risques impose une cartographie exhaustive de toutes les sources de risques TIC. Cette démarche comprend la classification et la documentation des fonctions commerciales supportées par les TIC, l’évaluation de l’impact potentiel des interruptions et une révision annuelle minimale de la classification des risques. Pour une veille juridique complète sur ces évolutions réglementaires, nous recommandons un suivi permanent des textes d’application.
Système de notification des incidents majeurs
Pour une vue globale, appuyez-vous sur « etudiants etrangers erreurs rejeter votre titre pratique », avec synthèse des obligations et cas d’usage.
La classification des incidents repose sur un mécanisme rigoureux combinant des conditions préalables et des seuils de significativité. Un incident devient majeur s’il remplit simultanément les conditions d’impact sur les services TIC soutenant des fonctions critiques, d’impact sur les services financiers nécessitant un agrément et de réalisation d’un accès malveillant aux réseaux ou systèmes.
Six seuils de significativité permettent d’affiner cette classification. Le seuil clients impose qu’un incident affecte plus de 10% des clients ou plus de 100 000 clients, ou encore plus de 30% des contreparties financières ou plus de 10% des transactions. L’atteinte à la réputation se caractérise par une couverture médiatique, des plaintes répétées de clients, un non-respect d’exigences réglementaires ou une perte de clients.
- Durée et interruptions : plus de 24 heures de durée totale ou plus de 2 heures d’interruption pour les fonctions critiques
- Répartition géographique : impact dans au moins deux États membres de l’Union européenne
- Pertes de données : impact sur la disponibilité, authenticité, intégrité ou confidentialité, ou accès malveillant avec risque
- Conséquences économiques : coûts ou pertes dépassant 100 000 euros
Le processus de notification s’articule autour de trois phases temporelles distinctes. La notification initiale doit intervenir dans les 4 heures après classification comme incident majeur, avec un délai maximum de 24 heures après détection. Le rapport intermédiaire est attendu dans les 72 heures suivant la notification initiale, complété par un rapport final sous un mois avec analyse des causes et plan d’action.
Les notifications transitent via le portail OneGate au format JSON, sans signature électronique. En cas d’indisponibilité du portail entre minuit et 4 heures ou le dimanche, une notification temporaire par email reste possible. Les cybermenaces importantes peuvent faire l’objet de notifications volontaires selon les mêmes modalités, renforçant la culture de partage d’information entre autorités de surveillance et entités.
Tests de résilience et programmes de continuité
Les tests de résilience opérationnelle numérique constituent un pilier essentiel de la conformité DORA. Ces évaluations régulières comprennent des analyses de vulnérabilité, des évaluations de sécurité des réseaux, des examens de sécurité physique et des tests de simulation de crise bout en bout. Les tests cyber de pénétration basés sur la menace complètent ce dispositif, particulièrement pour les systèmes et applications TIC critiques testés au minimum annuellement.
Les tests de pénétration avancés (TLPT) concernent certaines entités importantes selon leur caractère systémique ou leur profil de risque TIC. Ces tests interviennent au moins tous les trois ans, couvrant plusieurs fonctions critiques ou importantes. L’accompagnement par l’autorité TLPT compétente TCT-FR en France garantit la qualité et la pertinence des évaluations.
La procédure TLPT s’organise en plusieurs phases distinctes. La phase de préparation inclut l’élaboration d’un plan prévisionnel validé par l’autorité compétente. La phase active s’étend sur un minimum de 12 semaines, permettant une évaluation approfondie des dispositifs de cybersécurité. La remise d’une synthèse des conclusions et des mesures correctives conclut cette démarche, alimentant l’amélioration continue des capacités défensives.
Les programmes de continuité des activités TIC doivent intégrer des politiques complètes incluant des procédures de sauvegarde, restauration et rétablissement. Les tests annuels minimaux vérifient l’efficacité de ces dispositifs, complétés par des plans de communication interne et externe en cas de crise. Les programmes de formation du personnel garantissent une appropriation effective de ces procédures par l’ensemble des collaborateurs concernés. Pour clarifier le sujet, retrouvez « ebook risque amende 75 000eur pratique », avec rappels essentiels et conseils pratiques.
Gestion des prestataires tiers et registre d’informations DORA
Obligations contractuelles avec les prestataires TIC
La gestion des risques liés aux prestataires tiers TIC impose aux entités financières une approche structurée et exhaustive. Cette démarche s’articule autour de l’intégration des risques tiers dans le cadre global de gestion des risques TIC, tout en maintenant la responsabilité pleine des entités malgré l’externalisation. Nous observons que cette responsabilité indivisible constitue un principe fondamental du règlement, imposant aux établissements une vigilance constante sur leurs prestataires de services TIC.
L’évaluation préliminaire avant conclusion de contrats représente une étape incontournable. Cette analyse doit couvrir les capacités techniques, la solidité financière, la conformité réglementaire et les références opérationnelles du prestataire. Les audits préalables complètent cette évaluation, permettant une vérification approfondie des mesures de cybersécurité et des dispositifs de continuité d’activité.
Les stratégies de sortie pour les services critiques ou importants constituent une obligation majeure. Ces plans doivent prévoir les modalités de récupération des données, de transfert vers un nouveau prestataire et de maintien des services pendant la transition. La complexité croissante des services cloud et des architectures distribuées rend cette planification particulièrement délicate, nécessitant une expertise technique approfondie.
L’article 30(2) définit les dispositions contractuelles obligatoires pour tous les accords TIC. Ces éléments minimaux comprennent une description complète des fonctions et services, la localisation précise des emplacements de traitement et stockage des données, la définition des niveaux de service et objectifs de performance. Les droits de résiliation et stratégies de sortie doivent être explicitement mentionnés, accompagnés des droits d’accès, inspection et audit. Les mesures de protection et sécurité des données complètent ces exigences fondamentales.
L’article 30(3) impose des éléments additionnels pour les fonctions critiques ou importantes. La gestion et supervision des sous-traitants critiques nécessitent des clauses spécifiques, renforcées par des obligations étendues de notification d’incidents. Les plans de continuité spécifiques et les tests de résilience conjoints garantissent une coordination optimale entre l’entité et son prestataire en cas de crise.
Constitution et remise du registre d’informations
Le registre d’informations DORA s’organise autour de 15 modèles types standardisés, couvrant l’ensemble des aspects de la contractualisation avec les prestataires TIC. Cette structure méthodique facilite la consolidation et l’analyse des informations par les autorités compétentes. Nous détaillons ci-dessous l’architecture complète de ce dispositif.
Les modèles B01 concernent l’identification des entités responsables du registre. Le B01.01 identifie l’entité tenant le registre, le B01.02 liste les entités du périmètre de consolidation, tandis que le B01.03 recense les succursales. Cette approche garantit une traçabilité complète de l’organisation et de ses ramifications.
Les modèles B02 portent sur les accords contractuels avec les prestataires TIC. Le B02.01 rassemble les informations générales des accords, le B02.02 détaille les informations spécifiques, et le B02.03 couvre les accords contractuels intra-groupe. Cette segmentation permet une analyse différenciée selon le type et la criticité des services.
| Famille de modèles | Objet | Modèles inclus | Fréquence de mise à jour |
|---|---|---|---|
| B_01 | Identification entités | B01.01, B01.02, B_01.03 | Modification organisationnelle |
| B_02 | Accords contractuels | B02.01, B02.02, B_02.03 | Évolution contractuelle |
| B03-B04 | Entités signataires/utilisatrices | B03.01 à B04.01 | Changement périmètre |
| B05-B07 | Prestataires et évaluations | B05.01 à B07.01 | Révision des risques |
Les modalités pratiques de remise imposent un format Plain CSV intégré dans un dossier ZIP, sans signature électronique. Le portail OneGate de l’ACPR constitue la voie unique de transmission, nécessitant une accréditation préalable dans les domaines DRA pour les assurances via Solva, ou DRB pour les banques via Surfi. La fréquence annuelle correspond aux données au 31 décembre N-1, avec remise obligatoire avant le 31 mars N. Avant de poursuivre, utilisez « nouveaux controles cdg orly pratique », avec critères de conformité et actions clés.
Les langues acceptées se limitent au français ou à l’anglais, avec obligation de cohérence linguistique dans l’ensemble du registre. Cette contrainte vise à faciliter l’analyse par les équipes de l’ACPR tout en respectant le caractère international de nombreux prestataires de services TIC.
Mise à jour et maintenance du registre
Les obligations de mise à jour du registre d’informations s’déclenchent selon plusieurs critères précis. L’ajout ou la suppression d’un prestataire tiers TIC nécessite une actualisation immédiate, de même que toute modification contractuelle substantielle affectant les conditions de service, les niveaux de performance ou les mesures de sécurité. Ces changements doivent être répercutés dans les modèles concernés dès leur prise d’effet.
Les changements de statut d’entité dans le périmètre DORA déclenchent également une mise à jour obligatoire. Cette situation peut résulter de modifications d’agrément, de changements d’activité ou de restructurations organisationnelles. Les réorganisations internes affectant la gestion des services TIC entrent dans cette catégorie, particulièrement lorsqu’elles modifient les circuits de décision ou les responsabilités opérationnelles.
L’évolution des risques liés aux services TIC critiques impose une actualisation du registre, notamment au niveau du modèle B_07.01 consacré aux évaluations. Cette mise à jour peut résulter de l’identification de nouvelles vulnérabilités, de changements dans l’environnement de menace ou de modifications des infrastructures techniques. La révision annuelle obligatoire garantit une actualisation systématique même en l’absence de modification identifiée.
Les mises à jour post-audit ou post-incident majeur constituent des cas particuliers nécessitant une attention spécifique. Ces situations révèlent souvent des écarts entre les informations déclarées et la réalité opérationnelle, imposant des corrections immédiates du registre. L’impact de ces découvertes sur la cotation des risques peut conduire à une reclassification de certains prestataires ou services.
Notification des projets d’accords et surveillance des prestataires critiques
La notification des projets d’accords constitue une obligation préventive permettant à l’ACPR d’évaluer les risques avant leur matérialisation. Cette démarche concerne exclusivement les accords TIC soutenant des fonctions critiques ou importantes, avec un délai impératif de 6 semaines avant l’entrée en vigueur. Le formulaire instruction 2019-I-06, modifiée par l’instruction 2020-I-09, standardise cette procédure via le portail ACPR.
Cette notification préalable permet aux autorités de surveillance d’identifier d’éventuels risques systémiques ou de concentration. L’analyse porte sur la criticité du service, la solidité du prestataire, les dispositifs de continuité et l’exposition globale du secteur financier au prestataire concerné. Cette approche préventive complète le dispositif de surveillance a posteriori via le registre d’informations.
Le cadre européen de surveillance des prestataires tiers critiques (CTPP) représente une innovation majeure de DORA. La désignation par les autorités européennes EBA, EIOPA et ESMA repose sur plusieurs critères cumulatifs : importance systémique, nombre d’entités dépendantes, caractère essentiel des services et impact potentiel d’une interruption sur la stabilité financière.
La supervision directe par l’AES compétente s’applique aux prestataires désignés comme critiques, créant un régime de surveillance renforcée. Cette approche coordonnée au niveau européen vise à prévenir les risques de contagion et à garantir la résilience de l’ensemble du secteur financier face aux défaillances de prestataires systemiquement importants.
L’obligation d’établissement d’une filiale dans l’Union européenne s’impose aux prestataires pays tiers critiques, avec un délai d’un an après désignation. Cette mesure vise à garantir la supervision effective et la capacité d’intervention des autorités européennes sur les infrastructures critiques supportant les services financiers européens.
Bonnes pratiques opérationnelles et automatisation
L’organisation de la gouvernance du registre nécessite une approche structurée impliquant plusieurs départements. La désignation d’un responsable registre dans l’organigramme garantit la coordination et l’actualisation permanente des informations. Cette fonction transverse mobilise les équipes risques opérationnels, sécurité des systèmes d’information, achats et juridique, créant une équipe dédiée aux enjeux DORA.
La validation des modifications par les différentes lignes de défense structure le processus de mise à jour. La première ligne identifie et évalue les changements, la seconde ligne vérifie la conformité et la cohérence, tandis que la troisième ligne audite périodiquement la qualité du dispositif. Le reporting trimestriel au comité des risques assure le suivi par les organes dirigeants.
Les solutions d’automatisation révolutionnent la gestion du registre DORA. Les interfaces API entre le registre et les outils GRC permettent une synchronisation temps réel des 15 modèles standardisés, réduisant significativement les risques d’erreur et les délais de mise à jour. Cette intégration technique facilite également la traçabilité des modifications et l’historisation des données.
Les alertes automatiques sur les déviations de seuils contractuels ou les changements de statut prestataire améliorent la réactivité des équipes. Les workflows d’escalade selon la gravité des situations garantissent un traitement approprié des événements critiques. Cette approche proactive permet d’anticiper les obligations de notification et de mise à jour du registre.
Les contrôles qualité automatisés vérifient la cohérence entre les différents modèles DORA, identifient les incohérences et signalent les données manquantes. La vérification mensuelle de l’actualisation des données, la surveillance des changements de criticité des prestataires et l’identification des chaînes de sous-traitance critiques complètent ce dispositif de contrôle continu.
Les programmes de formation des équipes ciblent les populations clés : risques opérationnels, achats et correspondants IT. Les cas pratiques concrets, incluant la cotation B_07.01 et la simulation d’incidents, renforcent l’appropriation opérationnelle. La désignation d’un référent DORA par département, complétée par des sessions mensuelles de questions-réponses et une documentation actualisée, garantit la montée en compétence de l’ensemble des acteurs concernés.
FAQ – Questions fréquentes sur la conformité DORA 2025Quelles sont les principales échéances DORA à respecter en 2025 ?
La date critique du 31 mars 2025 impose la remise du registre d’informations pour les données 2024. Le 15 avril 2025 constitue l’échéance pour certains registres complémentaires. Le 1er juillet 2025 marque le début des obligations de notification de partage d’informations sur les cybermenaces, avec déclaration obligatoire avant le 30 septembre pour les dispositifs préexistants.
Comment déterminer si mon établissement doit remettre un registre individuel ou consolidé ?
La remise consolidée par la maison mère s’applique si celle-ci est établie en France et constitue la maison mère dans l’Union européenne. Elle doit inclure toutes les entités financières DORA selon la compétence de l’ACPR. Dans les autres cas, chaque entité effectue une remise individuelle via le portail OneGate.
Quels sont les critères exacts pour qualifier un incident comme majeur ?
Un incident devient majeur s’il remplit les conditions d’impact sur les services TIC soutenant des fonctions critiques, d’impact sur les services financiers agréés et d’accès malveillant réussi, PLUS au moins deux des six seuils : clients (10% ou 100 000), réputation, durée (24h ou 2h d’interruption critique), géographie (2+ États UE), données ou économique (100 000 euros).
Comment gérer les mises à jour du registre d’informations ?
Toute modification contractuelle, ajout/suppression de prestataire, changement de statut d’entité ou réorganisation affectant la gestion des services TIC déclenche une mise à jour immédiate. Une révision annuelle reste obligatoire même sans modification. Les mises à jour post-audit ou post-incident nécessitent une attention particulière pour corriger les écarts identifiés.
Quelles sanctions risquent les entités non conformes à DORA ?
Les sanctions peuvent atteindre 10 millions d’euros ou 5% du chiffre d’affaires annuel total. S’y ajoutent des mesures correctives obligatoires, la publication des sanctions impactant la réputation, et dans les cas graves ou répétés, le retrait d’agrément. Des restrictions opérationnelles peuvent également être imposées jusqu’à obtention de la conformité.
