Analyse approfondie du Digital Operational Resilience Act — obligations, calendrier, mise en conformité pour les entités financières et prestataires ICT critiques.
Obligations ACPR, CRD, gestion des risques TIC pour établissements bancaires et de paiement.
Articulation avec Solvabilité II, ORSA, mutuelles, institutions de prévoyance et réassureurs.
Néobanques, établissements de paiement, crypto-actifs, et conformité pour acteurs innovants.
Cadre de gouvernance et dispositif complet de gestion des risques liés aux technologies de l'information et de la communication.
Obligations de déclaration des incidents ICT majeurs aux autorités compétentes dans des délais stricts.
Programme de tests de résilience opérationnelle numérique, dont les tests TLPT (Threat-Led Penetration Testing).
Gestion des risques liés aux prestataires tiers de services ICT, notamment les fournisseurs cloud critiques.
Dispositifs volontaires de partage d'informations sur les cybermenaces entre entités financières.
DORA impose un registre des tiers ICT, des clauses contractuelles obligatoires et des TLPT pour les prestataires critiques. Ce que banques et assurances doivent mettre en place avant le 17 janvier 2026.
Lire l'article →Registre à jour du règlement (UE) 2022/2554 DORA, des RTS/ITS délégués de la Commission, et des positions AMF-ACPR applicables aux entités financières françaises.
Lire l'article →DORA impose des clauses contractuelles obligatoires avec tous les prestataires ICT tiers (cloud, SaaS, infogérance). Liste complète des mentions requises, registre DORA et responsabilités 2026.
Lire l'article →DORA 2026 : quelles obligations pour les tiers prestataires ICT ? Registre d'informations, contrats, sous-traitance critique. Guide complet pour banques et assurances.
Lire l'article →DORA impose un registre des tiers prestataires TIC et une procédure stricte de signalement des incidents ICT majeurs. Délais, contenus obligatoires et sanctions en cas de manquement.
Lire l'article →Tout ce que dit le règlement DORA (UE) 2022/2554 sur la résilience opérationnelle du secteur financier : articles, RTS, ITS, calendrier, contrôle ACPR et AMF. Lecture éditoriale avec liens EUR-Lex et ACPR.
Lire l'article →Guide DORA 2026 pour les assureurs français : articulation Solvabilité II, ORSA, supervision ACPR/EIOPA, mutuelles, institutions de prévoyance et réassureurs.
Lire l'article →Guide DORA 2026 pour les banques françaises : obligations ACPR, gestion des risques TIC, notification d'incidents 4h, tests TLPT et supervision des prestataires cloud.
Lire l'article →DORA en vigueur depuis janvier 2025 : quelles obligations pour les prestataires IT travaillant avec des établissements financiers ? Contrats, audits, classification critique et sanctions.
Lire l'article →Toutes les dates clés du règlement DORA : adoption, RTS/ITS, entrée en application, échéances registre, TLPT et jalons de conformité 2024-2025.
Lire l'article →Impact du règlement DORA sur les assureurs et réassureurs : obligations spécifiques, articulation avec Solvabilité II, gestion des risques ICT et calendrier de conformité.
Lire l'article →Obligations DORA spécifiques aux banques : gestion des risques ICT, reporting incidents, tests TLPT, registre tiers et impact sur la gouvernance des établissements de crédit.
Lire l'article →Exigences DORA pour l'externalisation cloud dans la finance : clauses contractuelles, localisation des données, stratégie de sortie et conformité des services cloud.
Lire l'article →Obligations DORA pour les fintech et petites entités financières : cadre simplifié article 16, proportionnalité, exemptions et stratégie de conformité pragmatique.
Lire l'article →Obligations DORA sur la gestion des risques ICT tiers : registre d'informations, clauses contractuelles article 30, supervision des prestataires critiques et stratégie de sortie.
Lire l'article →Comparaison DORA et NIS2 : lex specialis, périmètres, obligations croisées et stratégie de double conformité pour les entités financières européennes.
Lire l'article →Responsabilités du comité de direction sous DORA : gouvernance ICT, supervision du risque numérique, formation des administrateurs et reporting au board.
Lire l'article →Exigences DORA pour les plans de continuité et de reprise d'activité ICT : RTO, RPO, scénarios de crise, tests obligatoires et gouvernance de la résilience.
Lire l'article →Mécanisme de désignation des prestataires ICT critiques sous DORA : critères, supervision directe par les AES, pouvoirs d'inspection et astreintes.
Lire l'article →Guide pratique du registre d'informations DORA : contenu obligatoire, format ITS, fréquence de mise à jour et transmission aux autorités compétentes.
Lire l'article →Guide complet du règlement DORA (EU 2022/2554) : les 5 piliers, obligations par entité, calendrier, sanctions et étapes de mise en conformité pour le secteur financier.
Lire l'article →Procédure complète de notification des incidents ICT majeurs sous DORA : délais (4h, 72h, 1 mois), critères de classification, templates et articulation avec le RGPD.
Lire l'article →Régime de sanctions DORA : mesures administratives, amendes, astreintes, retrait d'agrément et pouvoirs des autorités compétentes nationales (ACPR, AMF).
Lire l'article →Méthodologie complète des tests de résilience DORA : tests de base annuels, TLPT triennaux, scénarios de menaces, prestataires qualifiés et budget à prévoir.
Lire l'article →Téléchargez notre checklist DORA 2026 en 8 points : ICT risk management, incidents, tests de résilience, tiers critiques... Mise en conformité accélérée pour institutions financières.
Lire l'article →L'ACPR supervise l'application de DORA pour les banques et assurances françaises. Découvrez ses pouvoirs, ses procédures et ses attentes en matière de conformité.
Lire l'article →L'AMF supervise DORA pour les gestionnaires d'actifs, sociétés de gestion et infrastructures de marché. Obligations spécifiques et attentes du régulateur.
Lire l'article →Comment atteindre la conformité bancaire au règlement DORA ? Plan d'action structuré, points de contrôle et bonnes pratiques pour les établissements français.
Lire l'article →Checklist complète pour évaluer votre conformité au règlement DORA. 50 points de contrôle organisés par domaine pour banques, assurances et fintechs.
Lire l'article →Comment DORA renforce les exigences de continuité d'activité pour les banques ? Plan de continuité TIC, scénarios de crise, tests et documentation obligatoire.
Lire l'article →La cyber résilience dans le secteur financier va au-delà de la conformité DORA. Comment construire une posture durable face aux cybermenaces croissantes ?
Lire l'article →Comprendre le Digital Operational Resilience Act (DORA) : définition, objectifs, obligations et calendrier. Le règlement EU 2022/2554 expliqué simplement.
Lire l'article →DORA est entré en vigueur le 17 janvier 2025. Quelles obligations s'appliquent immédiatement ? Quel premier bilan tirer de cette entrée en application ?
Lire l'article →Comment appliquer concrètement le règlement DORA ? Méthodes, outils et étapes pratiques pour mettre en œuvre les obligations du règlement (EU) 2022/2554.
Lire l'article →Calendrier complet du règlement DORA : adoption, entrée en vigueur, RTS, ITS, supervision des tiers critiques. Toutes les dates clés de 2022 à 2026.
Lire l'article →DORA impose des exigences spécifiques pour l'utilisation du cloud dans le secteur financier. Contrats, supervision, localisation des données et tiers critiques.
Lire l'article →DORA impose des exigences précises de cybersécurité au secteur financier : gestion des risques ICT, tests TLPT, notification d'incidents. Guide complet des obligations cyber.
Lire l'article →DORA est un règlement européen, pas une directive. Comprendre la différence et ses conséquences pratiques pour les entités financières françaises.
Lire l'article →Le règlement DORA est entré en vigueur le 17 janvier 2025. Chronologie, obligations immédiates et ce qui a concrètement changé pour le secteur financier européen.
Lire l'article →DORA et le RGPD se croisent sur les incidents cyber impliquant des données personnelles. Guide pratique des obligations croisées et des zones de friction.
Lire l'article →Pourquoi l'Europe a créé DORA ? Contexte, chronologie et enjeux stratégiques du règlement (EU) 2022/2554 pour la résilience numérique financière européenne.
Lire l'article →Comment le règlement DORA transforme concrètement le secteur financier français. Coûts de conformité, délais, risques et opportunités pour les établissements.
Lire l'article →DORA impose des obligations précises aux fintechs agréées. Découvrez les exigences clés, les défis spécifiques aux startups et comment construire une conformité efficiente.
Lire l'article →Quel bilan tirer des premiers mois d'application de DORA depuis le 17 janvier 2025 ? Conformité des banques, premières inspections et points de friction.
Lire l'article →Les mutuelles françaises sont soumises au règlement DORA. Quelles obligations ? Quel régime proportionnel ? Guide pratique pour les mutuelles santé et prévoyance.
Lire l'article →DORA est le premier règlement européen unifiant la résilience opérationnelle numérique du secteur financier. Comprendre sa nature juridique et sa portée unique.
Lire l'article →Toutes les réponses aux questions fréquentes sur le règlement DORA. Champ d'application, délais, sanctions, cloud, banques, assurances et fintechs.
Lire l'article →Comment mettre en place la gestion des risques TIC conforme à DORA ? Framework, outils, politiques et reporting requis par le règlement (EU) 2022/2554.
Lire l'article →Glossaire complet des termes DORA : TIC, TLPT, prestataire critique, incident majeur, Lead Overseer... Définitions officielles du règlement (EU) 2022/2554.
Lire l'article →Le cadre ICT Risk Management imposé par DORA : gouvernance, identification des risques, protection, détection, réponse et rétablissement. Guide complet articles 5-16.
Lire l'article →Un incident cyber frappe votre banque ? Guide complet DORA sur la classification, la gestion de crise et les obligations de notification à l'ACPR.
Lire l'article →Comment notifier un incident TIC majeur au titre de DORA ? Délais (4h, 72h, 1 mois), critères de classification, formulaires et bonnes pratiques.
Lire l'article →DORA encourage le partage d'informations sur les cybermenaces entre entités financières. Comment fonctionne ce mécanisme et quelles sont les protections légales ?
Lire l'article →DORA impose un registre complet des contrats avec les tiers prestataires TIC. Contenu obligatoire, délais de transmission et modèle pratique pour les entités financières.
Lire l'article →Texte intégral du règlement DORA (EU) 2022/2554 analysé article par article. Obligations, calendrier et impact pour les entités financières françaises.
Lire l'article →Le cadre réglementaire des fintechs en 2025 : DORA pour la résilience, MiCA pour les crypto-actifs, DSP3 pour les paiements. Guide complet des nouvelles obligations.
Lire l'article →Qu'est-ce que la résilience opérationnelle numérique ? Définition complète, composantes et cadre imposé par le règlement DORA (EU) 2022/2554 aux entités financières.
Lire l'article →Les assureurs font face à une double exposition cyber : comme entités soumises à DORA et comme assureurs du risque cyber de leurs clients. Analyse complète.
Lire l'article →DORA réinvente la gestion du risque opérationnel bancaire pour les risques TIC. Articulation avec Bâle III, nouvelles obligations et impact sur les fonds propres.
Lire l'article →Le risque TIC dans le secteur financier : types de risques, incidents historiques, coûts et cadre de gestion imposé par DORA (EU) 2022/2554.
Lire l'article →DORA encadre strictement la sous-traitance cloud des banques. Clauses obligatoires, droit d'audit, stratégie de sortie et supervision des hyperscalers.
Lire l'article →Les stress tests cyber sous DORA : comment simuler des scénarios de crise extrêmes pour tester la résilience financière numérique ? Guide complet des méthodes.
Lire l'article →Le superviseur principal TIC (Lead Overseer) de DORA supervise directement les prestataires TIC critiques. Désignation, pouvoirs et implications pour AWS, Azure, GCP.
Lire l'article →Quels tests de résilience numérique impose DORA ? Évaluations de vulnérabilité, tests de pénétration, exercices de continuité et TLPT — calendrier et bonnes pratiques.
Lire l'article →Comment fonctionne le Threat-Led Penetration Testing (TLPT) imposé par DORA ? Phases TIBER-EU, threat intelligence, red team et résultats attendus expliqués.
Lire l'article →Les TLPT (Threat-Led Penetration Testing) sont imposés par DORA aux entités financières significatives. Fonctionnement TIBER-EU, prestataires qualifiés et fréquence.
Lire l'article →Liste complète des 21 catégories d'entités financières soumises au règlement DORA (EU 2022/2554) : banques, assureurs, gestionnaires de fonds, prestataires crypto et plus.
Lire l'article →Obligations DORA pour la gestion des risques ICT tiers : registre d'informations, clauses contractuelles, supervision des prestataires cloud critiques, stratégies de sortie.
Lire l'article →Le Digital Operational Resilience Act (règlement (UE) 2022/2554) est un règlement européen qui impose un cadre harmonisé de résilience opérationnelle numérique à environ 21 catégories d'entités financières : banques, assureurs, gestionnaires d'actifs, établissements de paiement, entreprises d'investissement, plateformes de négociation, infrastructures de marché, ainsi que leurs prestataires tiers de services TIC critiques.
DORA est entré en vigueur le 16 janvier 2023 mais s'applique directement dans tous les États membres depuis le 17 janvier 2025. Les entités financières concernées doivent être pleinement conformes à cette date, sans période transitoire supplémentaire prévue au niveau européen.
Les autorités compétentes nationales (ACPR, AMF en France) peuvent prononcer des sanctions administratives et pécuniaires dont le plafond dépend du droit national de transposition. Le règlement prévoit également des astreintes journalières pouvant atteindre 1 % du chiffre d'affaires mondial pour les prestataires tiers critiques qui refusent de coopérer avec les superviseurs européens.
L'article 2 de DORA liste exhaustivement les entités financières couvertes. Pour la plupart des établissements déjà régulés (CRR, Solvabilité II, MiFID II, DSP2, UCITS, AIFM), l'inclusion est automatique. Les micro-entreprises bénéficient d'un régime proportionné. Les prestataires TIC sont concernés indirectement via les obligations imposées aux entités financières clientes.
Un prestataire tiers critique (CTPP) est désigné chaque année par les trois autorités européennes de surveillance (EBA, ESMA, EIOPA) selon des critères d'importance systémique : nombre et taille des entités financières clientes, caractère substituable du service, interdépendances. Une fois désigné, le prestataire est directement supervisé au niveau européen et soumis à un pouvoir d'inspection, de recommandation et de sanction.
Le règlement est applicable depuis le 17 janvier 2025. Nos analyses vous aident à comprendre vos obligations et structurer votre mise en conformité.
Commencer par le guide complet