DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est entré en application le 17 janvier 2025. Un an plus tard, 2026 marque le premier cycle d'audit complet des entités financières par les autorités compétentes. Cet article décrit ce que les ESAs (European Supervisory Authorities — EBA, ESMA, EIOPA) et les régulateurs nationaux (ACPR, AMF, BaFin, CNMV, FINMA…) examineront en priorité, le calendrier 2026, les livrables attendus et les sanctions encourues.
Le calendrier 2026 du premier cycle d'audit
| Période | Échéance |
|---|---|
| Q1 2026 | Soumission obligatoire du Register of Information (RoI) Art. 31 au régulateur national, format ESAs ITS 2024/2956 |
| Q1–Q2 2026 | Premiers audits documentaires sur place (ACPR France, BaFin Allemagne) — focus risque ICT et CIF |
| T2 2026 | Reporting semestriel des incidents majeurs Art. 17 si applicable |
| Q3 2026 | TLPT scheduling pour entités de tier 1 (banques systémiques, infrastructures de marché) — Art. 26-27 |
| Q4 2026 | Premier rapport annuel conformité DORA au comité de direction, signé par DG/CRO/CISO |
Les 7 points de contrôle prioritaires
1. Le Register of Information (Art. 31)
Le RoI est le pivot de l'audit DORA. Format normalisé par les ESAs : 7 modèles (templates 1 à 7) couvrant entité, contrats, fournisseurs ICT, fonctions critiques, sous-traitance, certifications, rapport de risque concentré.
Erreurs typiques observées en T4 2025 :
- LEI (Legal Entity Identifier) manquant ou incorrect.
- CIF non rapprochées avec leurs fournisseurs ICT (mappings vides).
- Sous-traitance ICT (Art. 29) non tracée jusqu'au tier-N.
- Pays d'hébergement et type de service cloud non déclarés.
L'auditeur comparera le RoI avec votre cartographie réelle et signalera toute incohérence.
2. La gouvernance ICT (Art. 5)
L'organe de direction doit avoir approuvé le cadre de gestion des risques ICT, et le réviser régulièrement. L'auditeur cherche :
- PV de comité approuvant le cadre,
- Rapports trimestriels au CISO/CRO et annuels au conseil,
- Trace des décisions sur les fonctions critiques (CIF) et sur les fournisseurs critiques.
Voir /features/cif-evaluation pour la méthodologie.
3. La cartographie des CIF et leurs RTO/RPO/MTPD
Chaque CIF doit avoir des objectifs de continuité chiffrés et testés. L'auditeur vérifie :
- Justification de criticité conforme Art. 3(22) (4 critères),
- RTO/RPO/MTPD déclarés et prouvés par exercice,
- Plan de reprise documenté pour chaque CIF.
Voir notre guide BIA en français et RTO vs RPO 2026.
4. La gestion des fournisseurs ICT critiques (Art. 28)
Pour chaque fournisseur ICT supportant une CIF, l'auditeur vérifie :
- Stratégie de sortie Art. 28(7)(j) — documentée et testable.
- Clauses contractuelles obligatoires Art. 30 (continuité, sécurité, audit, résiliation).
- Concentration risk Art. 29 calculée et documentée.
- Voir CRA contract clauses (proche pattern).
5. La notification d'incidents majeurs (Art. 17)
Workflow et délais alignés avec les ITS ESAs : early warning 4 h, notification 24 h, rapport intermédiaire 1 mois, rapport final ≤ 30 j post-clôture. L'auditeur examinera vos incidents 2025 :
- Avez-vous bien notifié à temps ?
- Le contenu était-il complet (impact, root cause, remédiation, lessons learned) ?
- Avez-vous notifié les clients dont les services étaient impactés ?
6. Les tests de résilience (Art. 24-25)
Programme annuel de tests, comprenant au minimum :
- Tests de continuité (DRP, BCP, scénarios de déclenchement),
- Tests de pénétration sur les systèmes ICT critiques,
- Pour les entités tier 1 : TLPT (Threat-Led Penetration Test) tous les 3 ans, scénarios pilotés par renseignement menaces.
Voir /features/crisis-gaming.
7. La traçabilité de l'organe de direction
Les comités de direction doivent prouver qu'ils ont consacré du temps à la résilience ICT : ordres du jour, comptes rendus, décisions documentées. Pas de « rubber-stamping ».
Sanctions DORA en cas de non-conformité
Les ESAs et régulateurs nationaux peuvent infliger :
- Amendes administratives allant jusqu'à 2 % du chiffre d'affaires annuel global pour les manquements graves.
- Pour les fournisseurs ICT critiques désignés par les ESAs : jusqu'à 1 % du CA quotidien moyen mondial par jour de manquement, plafonné à 6 mois de manquement.
- Avertissements publics, retrait d'agrément en cas de récidive.
L'ACPR a confirmé en mars 2026 qu'elle priorisera les avertissements et plans de remédiation pour le premier cycle, mais les manquements graves (CIF non identifiées, RoI absent ou faux, incidents non notifiés) feront l'objet de sanctions immédiates.
Checklist 60 jours pour passer l'audit 2026
J-60 → J-45 : Audit interne du RoI vs cartographie réelle.
Lancer une revue de toutes les CIF (justification, RTO/RPO).
J-45 → J-30 : Compléter les mappings CIF ↔ fournisseurs ICT manquants.
Vérifier les clauses contractuelles Art. 30 sur 100% des contrats.
J-30 → J-15 : Tester le workflow de notification d'incident (exercice).
Documenter la gouvernance ICT (PV comité dernier trimestre).
J-15 → J-7 : Pré-audit blanc avec consultant externe ou auditeur interne.
J-7 → J-0 : Préparer dossier d'audit (PV, RoI, rapports, KPI).
Aligner DG/CRO/CISO sur messages clés.
J-0 : Audit. Réponses préparées, accès aux artéfacts.
Comment ResiPlan accélère votre conformité DORA 2026
ResiPlan livre pré-câblé :
- Génération automatisée du RoI Art. 31 (templates ESAs 1-7) — voir /features/dora-cif.
- Méthodologie d'évaluation CIF Art. 3(22) — voir /features/cif-evaluation.
- Workflow incidents Art. 17 (4h/24h/1mois/post-clôture).
- Tableau de bord conformité DORA temps réel.
- Scénarios TLPT + intégration prestataires PASSI agréés.
Démarrer un essai gratuit ResiPlan — votre RoI prêt en 2 semaines.