Conformité DORA, entièrement automatisée
Le Digital Operational Resilience Act est désormais obligatoire pour les entités financières de l’UE. Matproof couvre les cinq piliers de DORA — de la gestion des risques ICT au registre des fournisseurs Art. 28.
Demander une démoQu'est-ce que le Digital Operational Resilience Act (DORA) ?
Le Digital Operational Resilience Act (DORA), formellement connu sous le nom de Règlement UE 2022/2554, est un cadre réglementaire complet conçu pour renforcer la résilience opérationnelle numérique du secteur financier européen. Adopté par le Parlement européen en novembre 2022 et obligatoire depuis le 17 janvier 2025, DORA établit des exigences uniformes pour garantir que les entités financières puissent résister, répondre et se remettre des perturbations et menaces liées aux TIC.
DORA a été introduit en réponse à la dépendance croissante des institutions financières envers les technologies de l'information et de la communication (TIC). À mesure que les services financiers se numérisent, l'impact potentiel des cyberincidents, des défaillances de systèmes et des perturbations technologiques sur la stabilité financière a considérablement augmenté. Le règlement répond à l'approche fragmentée de la gestion des risques TIC qui existait auparavant dans les États membres de l'UE en créant un cadre unique et harmonisé.
Contrairement à de nombreuses directives européennes qui nécessitent une transposition nationale, DORA est un règlement qui s'applique directement et uniformément dans tous les États membres de l'UE. Cela signifie que les entités financières en Allemagne, en France, aux Pays-Bas et dans tout autre pays de l'UE doivent respecter exactement les mêmes exigences. Le règlement est complété par une série de normes techniques de réglementation (RTS) et de normes techniques d'exécution (ITS) élaborées par les autorités européennes de surveillance (AES) — ABE, AEAPP et AEMF.
DORA est structuré autour de cinq piliers fondamentaux qui, ensemble, créent une approche globale de la résilience opérationnelle numérique : la gestion des risques TIC, la gestion et la déclaration des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC et le partage d'informations et de renseignements. Chaque pilier contient des obligations spécifiques que les entités financières doivent mettre en œuvre, avec une proportionnalité appliquée en fonction de la taille de l'entité, de son profil de risque et de la complexité de ses services TIC.
Qui a besoin de la conformité DORA ?
DORA s'applique à environ 22 000 entités financières à travers l'Union européenne. Le champ d'application est délibérément large pour assurer une couverture complète de l'écosystème financier et de ses dépendances TIC. Les types d'entités suivants relèvent du champ d'application de DORA :
Entités financières
- Établissements de crédit (banques)
- Établissements de paiement et établissements de monnaie électronique
- Entreprises d'investissement et gestionnaires de fonds
- Entreprises d'assurance et de réassurance
- Prestataires de services sur crypto-actifs
- Dépositaires centraux de titres
Prestataires de services TIC
- Fournisseurs de services d'informatique en nuage
- Fournisseurs de logiciels en tant que service (SaaS)
- Fournisseurs d'analyse de données et de centres de données
- Prestataires tiers critiques de services TIC (CTPP)
- Fournisseurs de services de sécurité gérés
- Fournisseurs d'infrastructure informatique et de réseaux
En Allemagne, l'Autorité fédérale de surveillance financière (BaFin) est la principale autorité nationale compétente responsable de la supervision de la conformité DORA. La BaFin travaille dans le cadre plus large de la surveillance européenne aux côtés de la BCE/MSU pour les établissements significatifs et des AES pour les normes techniques de réglementation. Les entités financières allemandes déjà soumises aux exigences de la BaFin telles que BAIT, VAIT et KAIT trouveront des chevauchements significatifs avec DORA, bien que le règlement européen introduise des exigences supplémentaires — notamment en matière de tests de résilience et de surveillance des risques liés aux tiers.
Not sure if you're compliant?
Take the free DORA readiness assessment — 10 questions, 3 minutes.
Exigences clés de DORA : les 5 piliers en détail
1. Cadre de gestion des risques TIC (Articles 5-16)
Les entités financières doivent établir et maintenir un cadre complet de gestion des risques TIC dans le cadre de leur système global de gestion des risques. Cela comprend l'identification de toutes les fonctions métier supportées par les TIC, la classification des actifs informationnels, des évaluations continues des risques et la mise en œuvre de mesures de protection, de détection et de réponse. L'organe de direction assume la responsabilité ultime et doit approuver et réviser régulièrement le cadre de gestion des risques TIC, allouer un budget adéquat et rester informé des risques TIC.
2. Gestion et déclaration des incidents liés aux TIC (Articles 17-23)
DORA introduit un cadre normalisé pour la classification, la gestion et la déclaration des incidents liés aux TIC. Les entités financières doivent mettre en place des processus pour détecter, gérer et consigner les incidents en utilisant des critères tels que le nombre de clients affectés, la durée, la portée géographique et la criticité des services impactés. Les incidents majeurs doivent être signalés à l'autorité compétente à l'aide de modèles prescrits — une notification initiale dans les 4 heures suivant la classification, un rapport intermédiaire dans les 72 heures et un rapport final dans un délai d'un mois.
3. Tests de résilience opérationnelle numérique (Articles 24-27)
Toutes les entités financières concernées doivent effectuer des tests réguliers de leurs systèmes et outils TIC. Les tests de base (évaluations des vulnérabilités, examens de la sécurité des réseaux, analyses des écarts) doivent être réalisés au moins une fois par an. Les entités financières significatives doivent également se soumettre à des tests avancés par le biais de tests de pénétration fondés sur la menace (TLPT) au moins tous les trois ans, réalisés par des testeurs externes qualifiés suivant le cadre TIBER-EU. Les tests TLPT doivent couvrir les fonctions et services critiques, et les résultats doivent être partagés avec l'autorité compétente.
4. Gestion des risques liés aux prestataires tiers de services TIC (Articles 28-44)
DORA impose des obligations étendues pour la gestion des risques découlant des prestataires tiers de services TIC. Les entités financières doivent tenir un registre de tous les accords contractuels avec les prestataires TIC (le Registre d'information au titre de l'Article 28(3)), effectuer une diligence raisonnable approfondie avant l'intégration et inclure des dispositions contractuelles spécifiques couvrant la sécurité, les droits d'audit, la localisation des données et les stratégies de sortie. Les prestataires tiers critiques de services TIC (CTPP) seront directement supervisés par les AES dans le cadre d'un dispositif de surveillance dédié.
5. Partage d'informations et de renseignements (Article 45)
DORA encourage les entités financières à échanger volontairement des informations et des renseignements sur les cybermenaces entre elles. Cela comprend les indicateurs de compromission (IoC), les tactiques, techniques et procédures (TTP) et les alertes de cybersécurité. Le partage d'informations doit respecter les réglementations en matière de protection des données et être mené au sein de communautés de confiance. Bien que volontaire, la participation à des dispositifs de partage d'informations est considérée comme une bonne pratique et peut être vue favorablement par les superviseurs.
6. Gestion de la continuité d'activité TIC
Les entités financières doivent élaborer et maintenir une politique globale de continuité d'activité TIC et des plans de reprise après sinistre associés. Ceux-ci doivent être testés au moins une fois par an et couvrir toutes les fonctions critiques et les systèmes TIC de support. Les plans doivent inclure des objectifs de temps de reprise (RTO) et des objectifs de point de reprise (RPO), et les entités doivent s'assurer qu'elles peuvent basculer vers des systèmes de secours et restaurer les opérations dans les délais définis. Des exercices réguliers basés sur des scénarios sont requis.
7. Gouvernance et responsabilités de l'organe de direction
DORA place une responsabilité explicite sur l'organe de direction (conseil d'administration ou équivalent) pour la gestion des risques TIC. Les membres doivent posséder une connaissance adéquate des risques TIC, s'engager activement dans la définition du cadre de gestion des risques TIC et suivre une formation spécifique. L'organe de direction doit définir, approuver et superviser la mise en œuvre de la stratégie de gestion des risques TIC, y compris les niveaux de tolérance au risque. Le non-respect de ces obligations peut entraîner une responsabilité personnelle.
Sanctions en cas de non-conformité à DORA
DORA établit un régime d'application robuste avec des conséquences financières et personnelles significatives en cas de non-conformité. Les autorités nationales compétentes — telles que la BaFin en Allemagne — disposent de larges pouvoirs de surveillance et d'enquête, y compris la capacité de mener des inspections sur place, de demander des informations et d'émettre des ordres contraignants.
ou 5 % du chiffre d'affaires annuel total pour les entités financières (le montant le plus élevé étant retenu)
pour les personnes occupant des postes de direction qui ne garantissent pas la conformité
Les CTPP s'exposent à des astreintes journalières pouvant atteindre 1 % du chiffre d'affaires mondial quotidien moyen jusqu'au rétablissement de la conformité
Les membres du conseil d'administration sont personnellement responsables des manquements à la conformité, y compris une éventuelle interdiction d'exercer
Au-delà des sanctions financières, la non-conformité à DORA peut entraîner des dommages réputationnels, la perte de licences d'exploitation, un contrôle accru de la part des superviseurs et des restrictions sur les activités commerciales. Les autorités compétentes peuvent également publier les constats de non-conformité, créant des conséquences significatives sur le marché.
Comment démarrer la conformité DORA
DORA étant obligatoire depuis le 17 janvier 2025, les entités financières devraient travailler activement vers une conformité complète. Voici une approche structurée pour atteindre et maintenir la conformité DORA :
- 1
Analyse des écarts et cadrage
Évaluez vos pratiques actuelles de gestion des risques TIC par rapport à l'ensemble des exigences DORA. Identifiez les écarts à travers les cinq piliers et priorisez les efforts de remédiation en fonction du risque et des attentes réglementaires. Faites correspondre les contrôles existants de BAIT, ISO 27001 ou d'autres cadres aux exigences DORA.
- 2
Cadre de gestion des risques TIC
Établissez ou mettez à jour votre cadre de gestion des risques TIC avec des politiques, procédures et contrôles documentés. Définissez l'appétit au risque, les critères de classification et attribuez des rôles et responsabilités clairs. Assurez-vous que les mécanismes d'approbation et de surveillance de l'organe de direction sont en place.
- 3
Registre des tiers et gestion des fournisseurs
Construisez et maintenez le Registre d'information (RoI) pour tous les accords avec des prestataires tiers de services TIC. Révisez et mettez à jour les contrats pour inclure les dispositions requises par DORA. Mettez en place des processus de surveillance continue et de diligence raisonnable pour les prestataires TIC critiques et importants.
- 4
Gestion et déclaration des incidents
Mettez en place des procédures de classification, d'escalade et de déclaration des incidents conformes aux exigences DORA. Établissez des canaux de communication avec les autorités compétentes et testez les workflows de déclaration. Assurez-vous de pouvoir respecter le délai de notification initiale de 4 heures pour les incidents majeurs.
- 5
Programme de tests de résilience
Concevez et mettez en œuvre un programme de tests couvrant les tests de base annuels et — pour les entités significatives — le TLPT tous les trois ans. Sélectionnez des prestataires de tests qualifiés et définissez des scénarios de tests couvrant les fonctions critiques. Documentez les résultats et suivez la remédiation des vulnérabilités identifiées.
- 6
Surveillance continue et amélioration
Mettez en place une surveillance continue des risques TIC, des contrôles et des prestataires tiers. Révisez et mettez à jour régulièrement votre cadre de gestion des risques TIC en fonction de l'évolution du paysage des menaces, des enseignements tirés des incidents et des mises à jour des orientations réglementaires. Préparez-vous à un engagement continu avec les superviseurs et aux obligations de déclaration.
Questions fréquentes sur DORA
Qu'est-ce que le Digital Operational Resilience Act (DORA) ?
DORA (Règlement UE 2022/2554) est un règlement contraignant de l'UE qui établit des exigences uniformes pour la sécurité des réseaux et des systèmes d'information dans le secteur financier. Il couvre la gestion des risques TIC, la déclaration des incidents, les tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC et le partage d'informations. DORA est obligatoire depuis le 17 janvier 2025.
Qui doit se conformer à DORA ?
DORA s'applique à environ 22 000 entités financières à travers l'UE, y compris les banques, les compagnies d'assurance, les entreprises d'investissement, les établissements de paiement, les prestataires de services sur crypto-actifs et les prestataires tiers critiques de services TIC. Il couvre également les fournisseurs de services cloud, les sociétés d'analyse de données et les éditeurs de logiciels au service de ces entités financières.
Quelles sont les sanctions en cas de non-conformité à DORA ?
Les entités financières s'exposent à des amendes administratives pouvant atteindre 10 millions d'euros ou 5 % du chiffre d'affaires annuel total, le montant le plus élevé étant retenu. Pour les personnes physiques, les amendes peuvent atteindre 5 millions d'euros. Les prestataires tiers critiques de services TIC peuvent être sanctionnés à hauteur de 5 millions d'euros, ou 500 000 euros pour les personnes physiques. De plus, les membres du conseil d'administration sont personnellement responsables des manquements à la conformité.
Quelle est la différence entre DORA et NIS2 ?
Bien que DORA et NIS2 traitent tous deux de la cybersécurité, DORA est spécifique au secteur financier et prévoit des exigences plus détaillées en matière de gestion des risques TIC, de tests de résilience et de gestion des risques liés aux tiers. NIS2 est plus large et couvre 18 secteurs. Pour les entités financières, DORA prévaut en tant que réglementation sectorielle spécifique (lex specialis).
Combien de temps faut-il pour devenir conforme à DORA ?
Le calendrier varie en fonction du niveau de maturité de votre organisation. Avec un SMSI existant et un cadre de conformité, la préparation à DORA peut être atteinte en 3 à 6 mois. Pour les organisations partant de zéro, prévoyez 6 à 12 mois. La plateforme d'automatisation de Matproof peut réduire ces délais de 50 à 70 % grâce à la cartographie automatisée des contrôles, la collecte de preuves et l'analyse des écarts.
Quels sont les 5 piliers de DORA ?
DORA repose sur cinq piliers : (1) La gestion des risques TIC — établir un cadre complet pour identifier et atténuer les risques TIC ; (2) La déclaration des incidents liés aux TIC — classification et déclaration normalisées aux régulateurs ; (3) Les tests de résilience opérationnelle numérique — y compris les tests de pénétration fondés sur la menace (TLPT) ; (4) La gestion des risques liés aux prestataires tiers de services TIC — surveillance de tous les prestataires de services TIC ; et (5) Le partage d'informations — échange volontaire de renseignements sur les cybermenaces entre entités financières.
DORA Readiness Assessment
Check your digital operational resilience in 3 minutes
Fonctionnalités clés
Gestion des risques ICT (Art. 5-16)
Registres des risques automatisés avec notation de probabilité et d’impact. Surveillance continue et suivi de l’atténuation alignés sur les exigences DORA.
Déclaration d’incidents (Art. 17-23)
Enregistrez, classifiez et signalez les incidents ICT à la BaFin dans le format requis. Générez automatiquement des évaluations de gravité et des rapports chronologiques.
Tests de résilience (Art. 24-27)
Suivez les programmes TLPT et de tests de résilience. Gérez les calendriers de tests, les conclusions et les plans de remédiation en un seul endroit.
Risques liés aux tiers (Art. 28-44)
Maintenez le registre Art. 28 de tous les fournisseurs ICT. Évaluations fournisseurs par IA, suivi des contrats et stratégies de sortie.
Partage d’informations (Art. 45)
Documentez les accords de partage de renseignements sur les menaces et conformez-vous aux exigences d’échange d’informations entre entités financières.
Rapports prêts pour la BaFin
Générez des rapports réglementaires dans le format exact attendu par la BaFin. Un clic, aucune mise en forme manuelle.
Pourquoi Matproof
Conformité conformité à travers l’Allemagne
Trouvez des guides de conformité spécifiques à votre ville pour votre institution financière.
DORA Readiness Assessment
Check your digital operational resilience in 3 minutes
Témoignages clients
Les équipes qui ne redoutent plus la saison des audits.
Matproof nous a fait gagner des mois de préparation d'audit. Nous avons connecté nos outils le lundi et dès le vendredi, nous avions des preuves cartographiées selon DORA. Notre auditeur a été impressionné par la profondeur de la piste d'audit.
Head of Compliance
Series B Fintech, Germany
* Company names anonymized for privacy. All quotes from real compliance professionals using Matproof.