Le règlement DORA suit un calendrier précis que chaque entité financière devrait avoir affiché dans le bureau du RSSI, du directeur conformité et — idéalement — dans la salle du conseil d'administration. Sauf que ce calendrier n'est pas toujours limpide, entre les dates d'adoption, de publication, d'entrée en vigueur, d'application, de publication des RTS, et les délais de mise en conformité.
Mettons de l'ordre dans tout ça.
La chronologie complète de DORA
| Date | Événement | Signification |
|---|---|---|
| 24 septembre 2020 | Proposition initiale par la Commission européenne | Paquet "finance numérique" incluant DORA et MiCA |
| 14 décembre 2022 | Adoption par le Parlement et le Conseil | Texte final voté |
| 27 décembre 2022 | Publication au Journal Officiel de l'UE | Texte juridiquement existant |
| 16 janvier 2023 | Entrée en vigueur | Début du délai de 24 mois pour mise en conformité |
| 17 janvier 2024 | Publication du 1er lot de RTS/ITS | Normes techniques sur risques ICT, incidents, registre |
| 17 juillet 2024 | Publication du 2e lot de RTS/ITS | Normes techniques sur TLPT, prestataires critiques, sous-traitance |
| 17 janvier 2025 | Date d'application | DORA est pleinement applicable — conformité exigée |
| 30 avril 2025 | 1er reporting du registre d'informations | Transmission du registre prestataires ICT aux autorités |
| 2025-2026 | Désignation des prestataires ICT critiques | Les AES publient la liste des prestataires sous supervision directe |
| 17 janvier 2028 | 1er cycle TLPT achevé | Deadline pour le premier test TLPT des entités significatives |
Janvier 2025 — le jour J est passé. Et maintenant ?
Le 17 janvier 2025 n'était pas une date de début — c'était une deadline. Les entités financières devaient être conformes à cette date. Point. Pas "en cours de mise en conformité". Conformes.
La réalité du terrain est évidemment plus nuancée. Un sondage mené par Deloitte fin 2024 auprès de 150 institutions financières européennes montrait que seules 38% d'entre elles se considéraient pleinement conformes à la date d'application. Les 62% restantes présentaient des écarts, principalement sur le registre d'informations tiers et la renégociation des contrats.
Les régulateurs en sont conscients. L'approche pragmatique adoptée par la plupart des autorités compétentes en ce début 2025 est de vérifier que les entités ont un plan de mise en conformité crédible avec un calendrier réaliste, plutôt que de sanctionner immédiatement les écarts. Mais cette période de tolérance a une durée limitée.
Le 1er lot de RTS/ITS — janvier 2024
Les normes techniques réglementaires (RTS) et d'exécution (ITS) du premier lot, publiées en janvier 2024, couvrent quatre domaines clés :
Cadre de gestion des risques ICT
Les RTS détaillent les éléments que doit contenir le cadre de gestion des risques ICT : politiques, procédures, outils, mécanismes de détection et de réponse. Ces normes concrétisent les articles 5 à 16 du règlement. Pour une vue complète, consultez le guide complet DORA.
Classification et reporting des incidents
Les critères de classification d'un incident comme "majeur" sont définis : nombre de clients affectés, durée d'indisponibilité, impact géographique, pertes financières, impact sur les données. Les templates de notification sont standardisés à l'échelle européenne.
Registre d'informations sur les tiers ICT
Le format et le contenu du registre d'informations sont précisés dans un ITS détaillé. C'est probablement la norme technique la plus opérationnelle — avec des templates que les entités peuvent directement utiliser comme base.
Politique concernant les services ICT de tiers
Les RTS sur la gestion des risques ICT tiers précisent les attentes en matière de due diligence, de suivi continu et de stratégie de sortie.
Le 2e lot de RTS/ITS — juillet 2024
Le second lot, publié six mois plus tard, traite des sujets les plus techniques :
Tests TLPT
Méthodologie détaillée, critères de qualification des testeurs, format des rapports, mécanismes de reconnaissance mutuelle entre États membres. Les entités significatives disposent de trois ans à compter de l'application pour réaliser leur premier TLPT — soit jusqu'en janvier 2028.
Désignation des prestataires ICT critiques
Critères quantitatifs et qualitatifs pour identifier les prestataires ICT à soumettre à la supervision directe. Le processus de désignation par les AES était prévu pour 2025, avec une montée en puissance progressive de la supervision.
Cadre de supervision directe
Pouvoirs du superviseur principal, modalités d'inspection, procédure d'astreintes, mécanismes de coopération entre AES et autorités nationales.
Calendrier de mise en conformité — par où commencer si vous êtes en retard
Soyons pragmatiques. Si votre entité n'est pas encore pleinement conforme en ce printemps 2025, voici la priorisation recommandée :
| Priorité | Action | Délai cible | Justification |
|---|---|---|---|
| P0 | Gouvernance — impliquer le board | Immédiat | Le régulateur vérifie ça en premier |
| P0 | Processus de notification d'incidents | Immédiat | Obligation déclenchée à chaque incident |
| P1 | Registre d'informations tiers ICT | 1-3 mois | Premier reporting aux autorités en 2025 |
| P1 | Cartographie fonctions critiques | 1-3 mois | Prérequis pour tout le reste |
| P2 | Revue des contrats (article 30) | 6-12 mois | Processus long mais structurant |
| P2 | Programme de tests annuels | 6 mois | Premier cycle à boucler en 2025 |
| P3 | Préparation TLPT | 12-18 mois | Si entité significative — deadline 2028 |
Ce qui arrive en 2025-2026
Premier reporting du registre aux autorités
La date limite de 30 avril 2025 pour la première transmission du registre d'informations aux autorités compétentes est un jalon majeur. C'est la première fois que les régulateurs auront une vue consolidée sur les dépendances ICT de l'ensemble du secteur financier.
Désignation des prestataires ICT critiques
Les AES devraient finaliser en 2025 la première liste de prestataires ICT critiques soumis à la supervision directe. Les noms les plus souvent cités dans les discussions du marché — sans que rien ne soit confirmé — incluent les principaux hyperscalers cloud, certains éditeurs de core banking et des fournisseurs d'infrastructure de marché.
Premiers contrôles sur place
Les autorités compétentes nationales commenceront les premiers contrôles de conformité DORA en 2025-2026. Les premiers visés seront logiquement les établissements de crédit significatifs et les infrastructures de marché, avant de descendre vers les entités plus petites.
FAQ — Calendrier DORA
DORA peut-il être modifié ou reporté ?
Le règlement prévoit un réexamen par la Commission européenne trois ans après l'application, soit début 2028. Des ajustements sont possibles mais un report de la date d'application est exclu — le texte est applicable depuis janvier 2025.
Les RTS/ITS peuvent-ils encore évoluer ?
Oui. Les AES peuvent publier des guidelines complémentaires, des Q&A et des mises à jour des normes techniques. Le cadre réglementaire est vivant et s'affinera avec les retours d'expérience des premières années d'application.
Quand les premières sanctions tomberont-elles ?
Difficile à prédire. Les régulateurs privilégient généralement la pédagogie dans les premiers mois, puis durcissent le ton progressivement. Les premières sanctions formelles pourraient intervenir fin 2025 ou début 2026, probablement pour des manquements flagrants plutôt que pour des écarts marginaux. Consultez notre article sur les sanctions DORA pour les détails.
Le calendrier DORA ne laisse plus beaucoup de marge. Si vous lisez cet article en vous demandant si vous êtes en retard — la réponse est probablement oui. La bonne nouvelle, c'est que vous n'êtes pas seuls, et que les régulateurs le savent. La mauvaise, c'est que cette tolérance initiale a une date d'expiration.