Qu'est-ce que la conformité DORA ?

La conformité DORA signifie répondre aux exigences du Digital Operational Resilience Act (Règlement UE 2022/2554). Elle impose aux entités financières de mettre en œuvre des cadres de gestion des risques TIC, de signaler les incidents selon des délais stricts, de réaliser des tests de résilience opérationnelle numérique, de gérer les risques liés aux tiers TIC et de tenir un registre d'information. DORA s'applique directement depuis le 17 janvier 2025 — aucune transposition nationale n'est nécessaire.

Quelles sont les sanctions en cas de non-conformité à DORA ?

DORA ne fixe pas de barème unique d'amendes à l'échelle de l'UE pour les entités financières. Les États membres doivent prévoir des sanctions et mesures correctrices effectives, proportionnées et dissuasives ; l'exposition financière exacte dépend donc du droit national et de l'autorité compétente. Les prestataires tiers TIC critiques peuvent en outre faire l'objet d'astreintes dans le cadre du régime de supervision DORA en cas de non-conformité ou de non-coopération.

Quelle est la date limite du registre d'information DORA 2026 ?

Le registre d'information (RoI) 2026 couvre les arrangements avec des tiers TIC avec une date de référence au 31 décembre 2025. Les délais nationaux varient : l'AFM néerlandaise demande une soumission avant le 31 mars 2026 ; le portail CSSF luxembourgeois a ouvert le 11 février 2026 ; l'échéance consolidée des ESA est le 30 avril 2026. Lors de l'exercice à blanc 2024, seulement 6,5 % des entreprises ont passé avec succès les 116 contrôles de qualité des données.

Quelle est la différence entre DORA et NIS2 ?

DORA est une législation sectorielle pour les entités financières et s'applique directement comme règlement. NIS2 est une directive transversale qui nécessite une transposition nationale. Pour les entités financières, DORA est lex specialis — elle prime sur NIS2 lorsque les exigences se chevauchent. DORA comporte des exigences bien plus détaillées sur la gestion des risques TIC, les tests de résilience, le registre d'information et la surveillance des tiers.

DORA exige-t-elle des tests d'intrusion ?

Oui. DORA impose à toutes les entités financières de réaliser des tests de résilience opérationnelle numérique, dont des évaluations de vulnérabilités. Les entités significatives doivent en outre se soumettre à des tests d'intrusion basés sur la menace (TLPT) au moins tous les trois ans, selon des référentiels reconnus comme TIBER-EU ou le référentiel national français TIBER-FR piloté par l'ANSSI.

Conformité DORA : Guide complet du Digital Operational Resilience Act (2026)

Published 16 mars 2026

By Emre Salmanoglu

Conformité DORA : Guide complet du Digital Operational Resilience Act (2026)

Q: Qui doit se conformer à DORA ?

DORA s'applique à pratiquement toutes les entités financières réglementées dans l'UE : banques, assureurs, entreprises d'investissement, établissements de paiement, prestataires sur crypto-actifs, plateformes de négociation, contreparties centrales, et bien d'autres — 20 catégories au total. Les prestataires tiers de services TIC sont listés séparément et peuvent relever du cadre de surveillance des prestataires tiers critiques de services TIC (CTPPs). Depuis novembre 2025, 19 prestataires ont été formellement désignés, dont AWS, Microsoft, Google Cloud, IBM, Bloomberg et d'autres.

Tout ce que les entités financières doivent savoir sur la conformité DORA en 2026 — gestion des risques TIC, signalement des incidents, tests TLPT, risques liés aux tiers, sanctions et délais du registre d'information.

DORA

Conformité

Services financiers

Risque TIC

Réglementation UE

Conformité DORA : Guide complet du Digital Operational Resilience Act (2026)

Le Digital Operational Resilience Act (DORA) — Règlement (UE) 2022/2554 — est le cadre dédié de l'UE pour la gestion des risques TIC dans le secteur financier. Il s'applique depuis le 17 janvier 2025 et concerne pratiquement toutes les entités financières réglementées dans l'Union européenne.

Contrairement à NIS2, DORA est un règlement, pas une directive. Il s'applique directement dans tous les États membres sans transposition nationale. Le règlement (UE) 2022/2554, article 64, fixe le 17 janvier 2025 comme date d'application. En 2026, les superviseurs ont durci leur approche : il ne s'agit plus de conformité documentaire, mais de prouver une résilience opérationnelle effective.

Qu'est-ce que DORA ?

DORA établit un cadre complet pour garantir que les entités financières puissent résister aux perturbations et menaces TIC, y répondre et s'en remettre. Il couvre cinq piliers :

Gestion des risques TIC — Cadre de gouvernance (Articles 5–16)
Signalement des incidents liés aux TIC — Signalement standardisé des incidents majeurs (Articles 17–23)
Tests de résilience opérationnelle numérique — Tests réguliers des systèmes TIC (Articles 24–27)
Gestion des risques liés aux tiers TIC — Supervision des prestataires critiques (Articles 28–44)
Partage d'informations — Échange volontaire de renseignements sur les cybermenaces (Article 45)

Le règlement reconnaît que la dépendance croissante du secteur financier à la technologie génère des risques systémiques qui dépassent les établissements individuels. Une seule défaillance TIC ou cyberattaque peut se propager à travers les systèmes financiers interconnectés — faisant de la résilience opérationnelle une question de stabilité financière, et pas seulement de sécurité informatique.

Qui doit se conformer à DORA ?

DORA s'applique à 20 catégories d'entités financières :

Catégorie	Exemples
Établissements de crédit	Banques
Établissements de paiement	Processeurs de paiement, PSP
Établissements de monnaie électronique	Émetteurs de monnaie électronique
Entreprises d'investissement	Courtiers, gestionnaires d'actifs
Prestataires de services sur crypto-actifs	Plateformes d'échange, dépositaires
Entreprises d'assurance et de réassurance	Assureurs, réassureurs
Intermédiaires d'assurance	Courtiers, agents
Institutions de retraite professionnelle	Fonds de pension
Contreparties centrales	Chambres de compensation
Référentiels centraux	Déclaration des transactions
Dépositaires centraux de titres	Règlement-livraison
Plateformes de négociation	Bourses, MTF
Référentiels de titrisation	Données ABS
Agences de notation de crédit	Fournisseurs de notations
Prestataires de services de financement participatif	Plateformes de crowdfunding
Prestataires de services de déclaration de données	APA, ARM
Gestionnaires de fonds d'investissement alternatifs	Gestionnaires de hedge funds, PE
Sociétés de gestion	Gestionnaires OPCVM
Prestataires de services d'information sur les comptes	Fournisseurs d'open banking

De plus, les prestataires tiers critiques de services TIC (CTPPs) sont soumis à un cadre de supervision directe.

Proportionnalité

DORA applique le principe de proportionnalité. Les exigences varient selon :

La taille et le profil de risque global de l'entité
La nature, l'échelle et la complexité des services
L'exposition aux risques TIC

Les micro-entreprises (moins de 10 salariés et moins de 2 M€ de CA) bénéficient d'un cadre simplifié de gestion des risques TIC en vertu des Articles 15–16.

Les cinq piliers de DORA

Pilier 1 : Gestion des risques TIC (Articles 5–16)

Les entités financières doivent établir un cadre complet de gestion des risques TIC couvrant :

Gouvernance :

L'organe de direction conserve la responsabilité ultime des risques TIC
Fonction dédiée de gestion des risques TIC, indépendante des TIC opérationnelles
Stratégie de gestion des risques TIC révisée au moins annuellement
La direction doit suivre une formation sur les risques TIC

Identification :

Identifier, classifier et documenter toutes les fonctions métier supportées par les TIC
Cartographier les actifs TIC et leurs dépendances
Identifier toutes les sources de risque TIC
Réaliser des évaluations des risques au moins annuellement

Protection et prévention :

Mettre en œuvre des politiques et procédures de sécurité TIC
Gestion des correctifs avec des délais définis
Sécurité réseau et contrôles d'accès
Mesures de protection et de chiffrement des données

Détection :

Surveillance continue des systèmes TIC
Mécanismes de détection des anomalies
Multiples couches de contrôle

Réponse et reprise :

Politique de continuité d'activité TIC
Plans de reprise après sinistre avec RTO et RPO définis
Procédures de communication de crise
Revues post-incident

Apprentissage et évolution :

Collecte de renseignements sur les menaces
Analyse des causes profondes post-incident
Amélioration continue du cadre

Pilier 2 : Signalement des incidents liés aux TIC (Articles 17–23)

DORA standardise la classification et le signalement des incidents dans l'ensemble du secteur financier. Les entités financières doivent classer et signaler les incidents majeurs liés aux TIC selon des seuils stricts :

Critères de classification des incidents majeurs :

Nombre de clients ou contreparties affectés
Durée de l'incident
Étendue géographique
Volume des pertes de données
Impact sur les services critiques
Impact économique

Délais de signalement :

Délai	Type de rapport	Contenu
Dans les 4 heures suivant la classification comme majeur (au plus tard 24 heures après la détection)	Notification initiale	Faits de base et classification
Dans les 72 heures suivant la classification	Rapport intermédiaire	Évaluation mise à jour et impact
Dans le délai d'un mois après le rapport intermédiaire	Rapport final	Analyse des causes profondes, mesures correctives

Les entités financières doivent également informer sans délai les clients concernés lorsque des incidents affectent leurs intérêts financiers (Article 19, §3). Cette obligation de communication horizontale — envers les contreparties, et pas uniquement les régulateurs — est l'une des exigences opérationnellement les plus exigeantes de DORA.

En France, l'ACPR (Autorité de contrôle prudentiel et de résolution) et l'AMF (Autorité des marchés financiers) sont les autorités compétentes selon le type d'entité financière. L'ANSSI joue également un rôle de coordination sur la cybersécurité du secteur financier.

Pilier 3 : Tests de résilience opérationnelle numérique (Articles 24–27)

Tests de base (toutes les entités) :

Évaluations de vulnérabilités et scans
Analyses de code open source
Évaluations de la sécurité réseau
Analyses d'écarts
Revues de la sécurité physique
Tests basés sur des scénarios
Tests de compatibilité et de performance
Tests de bout en bout

Tests avancés (entités significatives uniquement) :

Tests d'intrusion basés sur la menace (TLPT) au moins tous les trois ans
Doivent suivre des cadres reconnus : TIBER-EU ou le cadre national français TIBER-FR coordonné par l'ANSSI
Réalisés par des testeurs externes qualifiés
Couvrent les systèmes TIC critiques supportant des fonctions critiques ou importantes
Résultats communiqués aux autorités compétentes (ACPR/AMF)

Pilier 4 : Gestion des risques liés aux tiers TIC (Articles 28–44)

DORA crée un cadre complet pour la gestion de l'externalisation et des risques TIC liés aux tiers :

Exigences pré-contractuelles :

Évaluation des risques avant de conclure tout contrat de services TIC
Due diligence sur les prestataires potentiels
Évaluation du risque de concentration — éviter la dépendance systémique envers un seul prestataire

Exigences contractuelles (Article 30) : Les contrats avec des prestataires TIC tiers doivent comporter des dispositions obligatoires couvrant :

Description complète des services et SLA
Localisation du traitement et du stockage des données
Droit d'audit et d'accès
Obligations de coopération lors des incidents
Portabilité des données et soutien à la transition
Stratégies de sortie et plans de transition

Registre d'information (Article 28, §3) : Les entités financières doivent tenir un registre structuré, continuellement mis à jour, de tous les arrangements avec des prestataires tiers de services TIC. Ce registre est un outil de supervision clé — il doit être disponible pour inspection à tout moment et soumis annuellement aux autorités nationales.

Supervision des CTPPs : Les Autorités européennes de surveillance peuvent désigner des prestataires comme CTPPs, les soumettant à une supervision directe comprenant des Joint Examination Teams (JETs), des inspections sur site et à distance, et des astreintes journalières.

Pilier 5 : Partage d'informations (Article 45)

DORA encourage — sans l'imposer — le partage de renseignements sur les cybermenaces :

Partager des indicateurs de compromission (IoC), tactiques, techniques et procédures (TTP)
Échanger des informations au sein de communautés de confiance
Participer à des accords de partage d'informations
Notifier les autorités compétentes de la participation

DORA en 2026 : Ce qui a changé

19 prestataires TIC critiques désignés

Le 18 novembre 2025, EBA, EIOPA et ESMA ont publié la première liste officielle de 19 prestataires tiers critiques de services TIC (CTPPs) désignés. La liste comprend :

Cloud hyperscale : AWS, Microsoft Azure, Google Cloud
Données financières et technologie : Bloomberg, London Stock Exchange Group, IBM
Services informatiques et télécoms : Tata Consultancy Services, Orange

Ces prestataires font désormais l'objet d'une supervision directe par des Joint Examination Teams (JETs). Les entités financières fortement dépendantes d'un CTPP désigné doivent documenter cette dépendance dans leur registre d'information et évaluer le risque de concentration en conséquence.

Registre d'information — Délais 2026

Le registre d'information (RoI) 2026 couvre les arrangements TIC avec une date de référence au 31 décembre 2025 :

Juridiction	Autorité compétente	Délai de soumission 2026
Pays-Bas	AFM	31 mars 2026
Luxembourg	CSSF	Portail ouvert depuis le 11 février 2026
Belgique	FSMA	Avant le 30 avril 2026
UE consolidé	EBA/EIOPA/ESMA	30 avril 2026
France	ACPR/AMF	Coordonné avec l'échéance ESA

Avertissement critique : Lors de l'exercice à blanc des ESA en 2024, seulement 6,5 % de près de 1 000 entreprises dans l'UE ont passé avec succès les 116 contrôles de qualité des données. Les défaillances les plus fréquentes : données contractuelles incomplètes, informations manquantes sur les sous-traitants, et classifications de criticité incorrectes. La soumission 2026 doit être nettement plus rigoureuse.

L'application s'est durcie

Selon les experts du secteur, 2026 marque la transition d'une conformité documentaire vers la preuve de résilience opérationnelle. Les régulateurs attendent désormais des preuves en temps réel, pas seulement des politiques documentées. La nouvelle posture de supervision est décrite comme une « surveillance interventionniste ».

La recherche de Deloitte révèle que :

La plupart des établissements estiment les coûts de conformité à 2–5 millions d'euros
Seulement 50 % des établissements s'attendaient à une conformité complète fin 2025
38 % visent 2026 pour une conformité totale
La responsabilité personnelle des dirigeants figure explicitement à l'agenda des régulateurs

DORA vs NIS2 : Comprendre la relation

Pour les entités financières, DORA et NIS2 peuvent être toutes deux pertinentes. DORA est lex specialis — elle prime lorsque ses exigences sont plus spécifiques :

Aspect	DORA	NIS2
Forme juridique	Règlement (directement applicable)	Directive (nécessite transposition)
Périmètre	Secteur financier + prestataires TIC critiques	18 catégories transversales
Signalement d'incidents	4 h initial (dès classification) / 72 h intermédiaire / 1 mois final	24 h alerte précoce / 72 h notification / 1 mois final
Tests	TLPT tous les 3 ans pour entités significatives	Évaluation d'efficacité (moins prescriptif)
Risque lié aux tiers	Cadre détaillé avec régime de supervision	Exigences de sécurité de la chaîne d'approvisionnement
Priorité	Prime pour les entités financières	S'applique où DORA ne couvre pas

Les entités financières se conforment à DORA pour les exigences liées aux TIC. NIS2 peut encore s'appliquer pour les aspects non spécifiquement couverts par DORA. Pour une analyse comparative détaillée des champs d'application, des délais de signalement, des sanctions et de la stratégie en cas de double obligation, consultez notre guide comparatif DORA vs NIS2.

Sanctions DORA

DORA n'harmonise pas complètement les sanctions pécuniaires applicables aux entités financières au niveau de l'UE. L'article 50 impose plutôt aux États membres de prévoir des sanctions et mesures correctrices effectives, proportionnées et dissuasives ; le niveau exact des amendes dépend donc du droit national et de l'autorité compétente.

Pour les entités financières :

Mesures correctrices et délais contraignants
Déclarations publiques et communications prudentielles
Restrictions sur les fonctions de direction
Suspension ou retrait d'agrément
Sanctions administratives prévues par le droit national applicable

Pour les prestataires tiers critiques de services TIC :

Recommandations du Lead Overseer et mesures de suivi
Exigences de remédiation dans le cadre de supervision
Astreintes en cas de non-conformité ou de non-coopération

La responsabilité des dirigeants est explicitement prévue par DORA, mais l'exposition financière exacte des entités financières dépend du régime national applicable.

Feuille de route de conformité DORA

Étape 1 : Évaluer l'applicabilité et la proportionnalité

Déterminez quelles exigences DORA s'appliquent :

Type d'entité (quelle catégorie parmi les 21)
Taille (micro-entreprise, standard ou entité significative)
Exposition aux risques TIC et criticité des opérations

Étape 2 : Conduire une analyse d'écarts DORA

Cartographiez votre cadre actuel par rapport aux cinq piliers. Lacunes fréquemment identifiées en 2025 :

Registre d'information absent ou incomplet
Seuils de classification des incidents non définis
Absence de programme TLPT pour les entités significatives
Contrats tiers sans les dispositions DORA obligatoires
Risque de concentration non formellement évalué

Étape 3 : Construire votre cadre de gestion des risques TIC

Établissez ou mettez à jour votre cadre selon les Articles 5–16 :

Documenter le rôle formel de supervision de l'organe de direction
Créer ou mettre à jour la stratégie, l'appétit et les politiques de risque TIC
Mettre en place une fonction indépendante de gestion des risques TIC
Implémenter une surveillance continue et une détection des anomalies

Étape 4 : Construire une capacité de signalement des incidents

La notification initiale en 4 heures (à compter de la classification comme majeur) est exigeante opérationnellement :

Critères et seuils de classification prédéfinis
Procédures de détection et d'escalade 24h/7j
Modèles de notification préétablis
Contacts réglementaires désignés auprès de l'ACPR et de l'AMF
Workflows de notification des clients (Article 19, §3)

Étape 5 : Mettre en place un programme de tests de résilience

Pour toutes les entités :

Évaluations annuelles de vulnérabilités et tests de sécurité réseau
Exercices de continuité d'activité basés sur des scénarios

Pour les entités significatives :

Identifier et mandater des testeurs TLPT qualifiés
S'aligner sur TIBER-EU ou TIBER-FR (ANSSI)
Concerter le périmètre en amont avec l'ACPR/AMF

Étape 6 : Corriger votre registre d'information

Priorité pratique la plus urgente en 2026 :

Documenter tous les arrangements TIC tiers dans le modèle ESA standard
Inclure : détails du prestataire, périmètre contractuel, localisations, sous-traitants, classification de criticité
Évaluer le risque de concentration pour les prestataires couvrant plusieurs fonctions critiques
Soumettre dans les délais de l'ACPR/AMF

Étape 7 : Instaurer une conformité continue

La conformité DORA n'est pas un exercice ponctuel :

Surveillance continue de la posture de sécurité des tiers TIC
Revue trimestrielle du registre d'information
Revue annuelle du cadre de gestion des risques TIC
Revue annuelle des seuils de classification des incidents

Comment Orbiq soutient la conformité DORA

Orbiq aide les entités financières à gérer en continu les exigences opérationnelles de DORA :

Gestion du registre d'information : Inventaire complet et structuré de tous les arrangements TIC tiers — toujours prêt pour la soumission réglementaire
Surveillance des prestataires : Évaluation continue de la posture de sécurité et de la conformité des prestataires TIC tiers, y compris les CTPPs désignés
Gestion des preuves : Collecte et organisation automatisées des preuves de conformité pour les inspections réglementaires et les processus TLPT
Trust Center : Démontrez votre posture de résilience opérationnelle aux contreparties, auditeurs et régulateurs — répondant à l'obligation de communication horizontale de l'Article 19, §3
Visibilité de la chaîne d'approvisionnement : Vue en temps réel du paysage de dépendances TIC, du score de risque de concentration et de l'exposition aux CTPPs
Surveillance continue: Monitoring automatisé des contrôles qui génère des preuves prêtes pour l'inspection sans effort manuel

Conçu pour les services financiers européens dès le premier jour, avec résidence des données dans l'UE et architecture native RGPD.

Échéances DORA clés en 2026

Échéance	Exigence
30 avril 2026	Soumission du registre d'information aux ESA (via les ANC nationales)
En continu	Surveillance continue des prestataires TIC tiers
Annuellement	Révision du cadre de gestion des risques TIC
Tous les 3 ans	TLPT pour les entités significatives

Lectures complémentaires

Signalement des incidents DORA et surveillance des prestataires : Articles 19, 28, 30
Guide de conformité NIS2 — Pour les exigences au-delà du périmètre de DORA
Sécurité de la chaîne d'approvisionnement NIS2 — Orientations complémentaires sur les risques tiers
Plateforme Vendor Assurance — Comment Orbiq gère les risques TIC tiers à grande échelle

Sources & Références

Règlement (UE) 2022/2554 — Texte intégral DORA — Journal officiel de l'UE, source pour toutes les références d'articles
ESA désignent les prestataires TIC critiques, 18 novembre 2025 — Première liste CTPP : 19 prestataires dont AWS, Microsoft, Google Cloud, IBM, Bloomberg, LSEG, TCS, Orange
DORA 2026 : AQMetrics — Fin de la période de grâce — Passage à la surveillance interventionniste
Registre d'information DORA 2026 — CSSF Luxembourg — Délais de soumission et détails du portail CSSF
Registre d'information DORA 2026 — FSMA Belgique — Attentes prudentielles 2026
Checklist conformité DORA 2026 — Thomas Murray — Statistiques de progression ; taux de conformité complète 50 %
Amendes et sanctions DORA 2025 — Structures d'amendes : 2 % CA, 1 M€ personnel, 5 M€ pour CTPPs
Règlement (UE) 2022/2554, article 64 — Date d'application

Ce guide est maintenu par l'équipe Orbiq. Dernière mise à jour : mars 2026.