DORA impose un processus structuré de notification des incidents majeurs liés aux TIC. Voici les critères de classification, les délais à respecter et les modèles harmonisés à utiliser.
Les articles 17 à 23 de DORA instaurent un processus harmonisé de gestion et de notification des incidents liés aux TIC. Chaque entité financière doit mettre en place un dispositif permettant de détecter, gérer, classer et déclarer les incidents.
L'objectif est double : permettre aux autorités d'avoir une vision en temps réel des perturbations majeures et favoriser une réponse coordonnée à l'échelle de l'Union. Ce dispositif s'inscrit dans le cadre plus large de la résilience opérationnelle numérique.
Le règlement délégué (UE) 2024/1772 définit les critères permettant de déterminer si un incident est majeur et doit donc être notifié. Il retient sept critères de classification :
Le RTS fixe des seuils de matérialité combinant ces critères. Seuls les incidents qualifiés de majeurs déclenchent l'obligation de notification.
Une fois un incident classé comme majeur, des délais stricts s'appliquent pour les déclarations successives :
Le respect de ces délais est essentiel : tout dépassement peut être qualifié de manquement par l'autorité compétente.
Le contenu de chaque déclaration est standardisé par les normes techniques associées au règlement (UE) 2025/301. Ces RTS et ITS définissent des modèles harmonisés précisant les champs obligatoires de la notification initiale, du rapport intermédiaire et du rapport final.
Les modèles couvrent notamment l'identification de l'entité, la chronologie de l'incident, les services et zones géographiques affectés, les causes profondes et les mesures de remédiation. Notre générateur de rapports d'incident structure automatiquement ces informations selon les modèles officiels.
Les notifications doivent être adressées à l'autorité compétente nationale dont relève l'entité financière. En France, il s'agit selon le statut de l'ACPR ou de l'AMF ; dans les autres États membres, des autorités équivalentes.
L'autorité compétente peut ensuite transmettre les informations aux autorités européennes de surveillance et, le cas échéant, à la BCE, au point de contact unique national, à l'ENISA ou aux autorités de protection des données, selon la nature de l'incident.
Au-delà des incidents majeurs, DORA prévoit la possibilité pour les entités financières de notifier, sur une base volontaire, les cybermenaces importantes qu'elles jugent pertinentes pour le système financier.
Cette démarche, bien que facultative, contribue à la détection précoce et au partage d'informations entre acteurs. Elle s'articule avec le pilier de partage d'informations de DORA et renforce la posture collective de cybersécurité du secteur.
Générer un rapport d'incident →
Seuls les incidents classés comme majeurs au sens du RTS (UE) 2024/1772 doivent être notifiés. La classification repose sur sept critères, dont le nombre de clients touchés, la durée, l'étendue géographique, les pertes de données et l'impact économique.
La notification initiale doit intervenir au plus tard 4 heures après la classification comme majeur, et au plus tard 24 heures après la détection. Le rapport intermédiaire est dû sous 72 heures, et le rapport final au plus tard un mois après la notification initiale.
Le RTS 2024/1772 retient : le nombre de clients et contreparties touchés, le nombre de transactions affectées, la durée et l'indisponibilité du service, l'étendue géographique, les pertes de données, la criticité des services et l'impact économique.
Les modèles harmonisés définis par les normes techniques associées au règlement (UE) 2025/301 s'appliquent à la notification initiale, au rapport intermédiaire et au rapport final. Ils standardisent les champs obligatoires de chaque déclaration.
La notification est adressée à l'autorité compétente nationale dont relève l'entité (par exemple l'ACPR ou l'AMF en France). Celle-ci peut ensuite relayer l'information aux autorités européennes de surveillance et à d'autres organismes concernés.
La déclaration des cybermenaces importantes est volontaire sous DORA. Elle n'est pas obligatoire, mais elle est encouragée car elle favorise la détection précoce et le partage d'informations entre entités financières.
Cette page est une aide professionnelle, pas un conseil juridique. · Version anglaise