Normes techniques DORA : RTS & ITS 2026

RTS et ITS : quelle différence ?

DORA fixe les grands principes ; ce sont les normes techniques qui en précisent l'application opérationnelle. Deux catégories existent :

Les normes techniques de réglementation (RTS) détaillent le contenu et les méthodes des obligations (le « quoi » et le « comment »).
Les normes techniques d'exécution (ITS) définissent des formats, modèles et procédures uniformes (les outils standardisés).

Élaborées par les autorités européennes de surveillance (EBA, ESMA, EIOPA), elles sont adoptées par la Commission européenne sous forme de règlements délégués ou d'exécution. Pour le contexte général, voir notre page sur DORA.

RTS sur le cadre de gestion du risque lié aux TIC (2024/1774)

Le règlement délégué (UE) 2024/1774 précise les exigences du cadre de gestion du risque lié aux TIC. Il détaille notamment :

les politiques de sécurité de l'information et de gouvernance des TIC ;
la gestion des actifs, des identités et des accès ;
la détection, la réponse et la reprise après incident ;
la continuité d'activité et les plans de réponse et de rétablissement.

Il inclut aussi le cadre simplifié applicable à certaines entités au titre de la proportionnalité.

RTS sur la classification des incidents (2024/1772)

Le règlement délégué (UE) 2024/1772 fixe les critères permettant de déterminer si un incident lié aux TIC est majeur et doit être déclaré. Il définit notamment sept critères de classification : nombre de clients et de contreparties touchés, durée et indisponibilité du service, étendue géographique, pertes de données, criticité des services affectés et impact économique.

Ce RTS précise également les seuils de matérialité. Pour la mise en pratique, consultez notre page notification des incidents.

RTS et ITS sur la notification des incidents (2025/301)

Les normes techniques associées au règlement (UE) 2025/301 harmonisent le contenu et les modèles de notification des incidents majeurs liés aux TIC. Elles précisent :

le contenu de la notification initiale, du rapport intermédiaire et du rapport final ;
les délais de déclaration aux autorités compétentes ;
les modèles standardisés à utiliser et la notification volontaire des cybermenaces importantes.

Ces modèles assurent une déclaration uniforme à travers l'Union.

ITS sur le registre d'information (2024/2956)

Le règlement d'exécution (UE) 2024/2956 définit les modèles standards du registre d'information que chaque entité doit tenir sur ses accords contractuels avec les prestataires tiers de TIC. Il comprend 15 modèles interconnectés, un format xBRL-CSV et des vocabulaires contrôlés (codes LEI, codes pays et devise ISO).

Ce registre est central pour la surveillance et la désignation des prestataires critiques. Découvrez tous les détails sur notre page dédiée au registre d'information.

RTS sur la sous-traitance et les prestataires tiers

Plusieurs normes encadrent le risque lié aux prestataires tiers de TIC. Le RTS sur la sous-traitance des services TIC critiques ou importants précise les éléments que les entités doivent évaluer et inclure dans leurs contrats lorsqu'un prestataire recourt à des sous-traitants en chaîne.

D'autres normes encadrent les politiques relatives aux services TIC soutenant des fonctions critiques et le cadre de surveillance des prestataires tiers critiques (PSTIC), incluant les frais de surveillance et les informations à fournir.

RTS sur les tests de pénétration fondés sur la menace (TLPT)

Un RTS spécifique encadre les tests de pénétration fondés sur la menace (TLPT), alignés sur le cadre TIBER-EU. Il précise :

les critères d'identification des entités tenues de réaliser un TLPT ;
la méthodologie : portée, phases de renseignement sur les menaces, test sur les systèmes de production, phase de clôture ;
les exigences relatives aux testeurs internes et externes ;
la coopération entre autorités et la reconnaissance mutuelle des tests.

Les TLPT s'appliquent aux entités financières les plus significatives, au moins tous les trois ans.

Constituer votre registre d'information →

Questions fréquentes

Quelle est la différence entre un RTS et un ITS ?

Un RTS (norme technique de réglementation) précise le contenu et les méthodes d'une obligation. Un ITS (norme technique d'exécution) définit des formats, modèles et procédures uniformes. Les deux complètent DORA et sont juridiquement contraignants.

Quel RTS définit la classification des incidents majeurs ?

Le règlement délégué (UE) 2024/1772 fixe les critères de classification des incidents liés aux TIC. Il définit sept critères, comme le nombre de clients touchés, la durée, l'étendue géographique, les pertes de données et l'impact économique, ainsi que les seuils de matérialité.

Quel format utiliser pour le registre d'information ?

L'ITS (UE) 2024/2956 impose le format xBRL-CSV, structuré autour de 15 modèles interconnectés, avec des vocabulaires contrôlés tels que les codes LEI et les codes ISO de pays et de devise.

Toutes les entités doivent-elles réaliser des TLPT ?

Non. Les tests de pénétration fondés sur la menace (TLPT) concernent uniquement les entités financières les plus significatives, identifiées par les autorités compétentes selon des critères de risque. Elles doivent en principe réaliser un TLPT au moins tous les trois ans.

Où trouver le texte officiel des RTS et ITS ?

Les normes techniques sont publiées au Journal officiel de l'Union européenne sous forme de règlements délégués (RTS) ou d'exécution (ITS) et restent consultables sur EUR-Lex. Les autorités européennes de surveillance publient également les projets et rapports finaux.

Cette page est une aide professionnelle, pas un conseil juridique. · Version anglaise

Normes techniques DORA : les RTS et ITS à connaître