Le règlement DORA (Digital Operational Resilience Act) est entré en application le 17 janvier 2025. Un an après, le bilan de la mise en conformité des banques, assureurs et fintech est contrasté : si les grandes institutions avancent, les acteurs moyens accusent encore des retards significatifs.
Les 5 piliers de DORA et leur état de mise en oeuvre
| Pilier DORA | Exigence principale | Niveau de conformité (2025) |
|---|---|---|
| Gestion du risque ICT | Cadre formel de gestion des risques technologiques | 75 % (grandes entités) |
| Gestion des incidents | Classification, notification dans 4h/24h/72h | 60 % conformes |
| Tests de résilience | TLPT pour entités significatives | 40 % opérationnels |
| Risque tiers ICT | Registre des prestataires, clauses contractuelles | 55 % avec registre à jour |
| Partage d'informations | Participation aux dispositifs sectoriels cyber | 35 % actifs |
Ce que les superviseurs ont déjà signalé
L'Autorité Bancaire Européenne (ABE) et l'EIOPA ont publié leurs premiers rapports de supervision fin 2025. Les principales lacunes : registre des prestataires ICT incomplet, délais de notification non respectés, clauses contractuelles DORA absentes dans les anciens contrats.
Sanctions pour les non-conformes
| Type de manquement | Sanction possible |
|---|---|
| Non-notification d'incident majeur | Jusqu'à 1 % du CA annuel mondial par jour de retard |
| Absence de cadre de gestion ICT | Amende jusqu'à 10 M€ |
| Non-conformité prestataires tiers | Interdiction temporaire de recours au prestataire |
Comment avancer concrètement en 2026 ?
Court terme (0-3 mois) : Compléter le registre des prestataires ICT. C'est la base de tout.
Moyen terme (3-6 mois) : Mettre en place la procédure de notification des incidents avec délais internes respectés.
Long terme (6-12 mois) : Planifier les tests TLPT et renégocier les contrats prestataires pour intégrer les clauses DORA.
Plus sur le règlement DORA expliqué, la différence entre DORA et NIS2 et les sanctions DORA détaillées.
Questions fréquentes sur DORA 2025-2026
Qui est concerné par le règlement DORA ?
DORA s'applique à 21 catégories d'entités financières dans l'UE : banques, assureurs, gestionnaires d'actifs, prestataires de services de paiement et leurs prestataires ICT critiques.
Quel est le délai de notification d'un incident majeur sous DORA ?
4 heures pour la notification initiale, 72 heures pour le rapport intermédiaire, 1 mois pour le rapport final.
DORA s'applique-t-il aux fournisseurs cloud non-européens ?
Oui. Les prestataires ICT critiques opérant pour des entités financières de l'UE, même basés hors UE, peuvent être désignés comme Critical Third-Party Providers et soumis à supervision directe par les autorités européennes.