DORA est le règlement européen sur la résilience opérationnelle numérique du secteur financier. Voici son champ d'application, ses cinq piliers, ses échéances et son régime de surveillance.
DORA, pour Digital Operational Resilience Act, est le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022. Il établit un cadre unique et harmonisé pour la résilience opérationnelle numérique du secteur financier de l'Union européenne.
Son objectif : garantir que toutes les entités financières puissent résister, réagir et se rétablir face aux perturbations et menaces liées aux technologies de l'information et de la communication (TIC). DORA met fin à la fragmentation des règles nationales en imposant des exigences communes à l'échelle de l'UE.
L'article 2 de DORA définit un champ d'application particulièrement large. Sont notamment visés :
Un principe de proportionnalité s'applique : les microentreprises bénéficient d'un régime allégé. Pour vérifier vos obligations précises, consultez les normes techniques RTS et ITS.
DORA structure ses exigences autour de cinq piliers :
Le calendrier de DORA s'articule autour de plusieurs jalons :
L'application de DORA est assurée par les autorités compétentes nationales (par exemple l'ACPR et l'AMF en France) et par les autorités européennes de surveillance (AES) : l'ABE (EBA), l'AEMF (ESMA) et l'AEAPP (EIOPA).
Une innovation majeure est le cadre de surveillance des prestataires tiers critiques de TIC (PSTIC). Les prestataires désignés comme critiques sont placés sous la supervision directe d'un superviseur principal au niveau européen, qui peut formuler des recommandations contraignantes.
Le non-respect de DORA expose les entités financières à des sanctions administratives et mesures correctives définies par les autorités compétentes nationales, conformément à l'article 50. Ces sanctions peuvent inclure des amendes, des injonctions de cesser un comportement et la publication des décisions.
Pour les prestataires tiers critiques de TIC, l'article 35 prévoit des astreintes pouvant atteindre 1 % du chiffre d'affaires journalier mondial moyen, applicables quotidiennement pendant une période maximale de six mois. Au-delà du risque financier, le non-respect expose à un risque réputationnel et opérationnel majeur.
Constituer votre registre d'information →
DORA signifie Digital Operational Resilience Act, soit en français la « loi sur la résilience opérationnelle numérique ». Il s'agit du règlement (UE) 2022/2554, directement applicable dans tous les États membres de l'Union européenne.
DORA est entré en vigueur le 16 janvier 2023 et s'applique depuis le 17 janvier 2025. Les entités financières concernées devaient être en conformité à cette dernière date.
DORA est une lex specialis pour le secteur financier : il prime sur NIS2 pour les obligations qu'il couvre. NIS2 vise un périmètre sectoriel plus large, tandis que DORA cible spécifiquement la résilience numérique des entités financières de l'UE.
Oui, mais DORA applique un principe de proportionnalité. Les microentreprises bénéficient d'un cadre simplifié de gestion du risque lié aux TIC et ne sont pas soumises à certaines obligations, notamment les tests de pénétration fondés sur la menace (TLPT).
Les autorités compétentes nationales (comme l'ACPR et l'AMF en France) supervisent les entités financières. Les autorités européennes de surveillance (EBA, ESMA, EIOPA) coordonnent le cadre et supervisent directement les prestataires tiers critiques de TIC (PSTIC).
Les autorités compétentes peuvent infliger des sanctions administratives et des mesures correctives. Pour les prestataires tiers critiques de TIC, des astreintes pouvant atteindre 1 % du chiffre d'affaires journalier mondial moyen sont prévues.
Cette page est une aide professionnelle, pas un conseil juridique. · Version anglaise