Guide DORA 2026 : obligations pour les entités financières

Le règlement européen DORA (Digital Operational Resilience Act, UE 2022/2554) est entré pleinement en application le 17 janvier 2025. Un an plus tard, les autorités européennes de supervision (ESA) et les régulateurs nationaux, comme l'ACPR en France, intensifient leurs contrôles. Ce guide fait le point sur les obligations concrètes qui s'imposent aux entités financières en 2026.

À qui s'applique DORA ?

DORA couvre plus de 22 000 entités financières dans l'Union européenne : banques, assureurs, sociétés de gestion, entreprises d'investissement, prestataires de services de paiement et de crypto-actifs, ainsi que leurs prestataires tiers critiques de services TIC (cloud, SaaS, datacenters). Les sanctions peuvent atteindre 1 % du chiffre d'affaires quotidien moyen et les prestataires critiques sont désormais supervisés directement par les ESA.

Les cinq piliers de DORA

1. Gestion des risques liés aux TIC

L'organe de direction est personnellement responsable du cadre de gestion des risques TIC. Il doit approuver une politique documentée, revue annuellement, couvrant identification, protection, détection, réponse et récupération. La cartographie complète des actifs TIC et des fonctions critiques est un prérequis.

2. Gestion, classification et notification des incidents

Les incidents majeurs doivent être classifiés selon sept critères (clients impactés, durée, criticité, perte de données, etc.) et notifiés au régulateur dans des délais serrés :

• 4 heures après la classification "majeur" pour la notification initiale
• 72 heures pour le rapport intermédiaire
• 1 mois pour le rapport final

3. Tests de résilience opérationnelle numérique

Toutes les entités doivent effectuer des tests annuels de leur dispositif TIC. Les plus grandes entités (seuil défini par les ESA) doivent réaliser des TLPT (Threat-Led Penetration Testing) tous les trois ans, conformément au cadre TIBER-EU.

4. Gestion des risques liés aux tiers TIC

DORA impose un registre d'information complet de tous les contrats TIC, soumis annuellement au régulateur. Les clauses contractuelles minimales sont standardisées par les normes techniques (RTS) de l'EBA. Les stratégies de sortie et de concentration deviennent obligatoires.

5. Partage d'informations sur les cybermenaces

Le partage d'indicateurs de compromission et de tactiques d'attaque entre entités financières est encouragé via des communautés dédiées, sous réserve du respect du RGPD.

Calendrier 2026

Checklist de conformité DORA

• Cadre de gestion des risques TIC approuvé par l'organe de direction
• Cartographie exhaustive des actifs et fonctions critiques
• Processus de classification d'incidents opérationnel
• Registre d'information des tiers à jour et soumis
• Clauses DORA insérées dans les contrats TIC critiques
• Plan de tests annuel documenté et exécuté
• Stratégie de sortie pour chaque prestataire critique
• Formation des dirigeants à DORA documentée
• Procédure de notification ENISA/ACPR testée

Erreurs fréquentes à éviter

Les contrôles ACPR de 2025 ont mis en lumière plusieurs lacunes récurrentes : registres TIC incomplets, absence de stratégie de sortie pour les prestataires cloud, incidents non classifiés faute de seuils clairs, tests de résilience limités à des exercices théoriques. La directive NIS2, complémentaire à DORA, vient renforcer ces attentes pour les secteurs essentiels.

Pour aller plus loin

La conformité DORA n'est pas un projet ponctuel mais un cycle permanent. ResiPlan centralise le registre TIC, automatise la classification d'incidents selon les sept critères ESA, et génère les rapports réglementaires au format requis.

• Solution CISO et résilience opérationnelle
• Solution conformité (DORA, NIS2, ISO)
• DORA vs NIS2 : quelle directive s'applique
• Tarifs et démonstration

Sources : Règlement (UE) 2022/2554, Guidelines EBA/GL/2023/05, publications ENISA 2025, notes ACPR sur la supervision DORA.