Le règlement DORA (Digital Operational Resilience Act) est pleinement applicable depuis le 17 janvier 2025. En 2026, les autorités de supervision (BCE, ACPR, AMF) intensifient leurs contrôles. Voici les obligations concrètes pour les établissements financiers — et l'état des contrôles un an après l'entrée en vigueur.
Qui est soumis à DORA en 2026 ?
DORA s'applique à plus de 20 catégories d'entités financières dans l'UE :
- Établissements de crédit (banques)
- Établissements de paiement et e-money
- Entreprises d'investissement
- Compagnies d'assurance et réassurance
- Gestionnaires de fonds alternatifs (AIFM) et OPCVM
- Prestataires de services sur crypto-actifs (PSCA)
- Prestataires TIC tiers critiques (par désignation BCE/ESMA)
Les 5 piliers de DORA et leur état de mise en œuvre en 2026
- Gestion du risque TIC — Cadre de gouvernance ICT obligatoire, RACI défini, politique de risque TIC approuvée par le Conseil d'administration. La plupart des grandes banques ont formalisé ces éléments, mais les entités plus petites accusent du retard.
- Notification des incidents majeurs — Signalement en 4 heures à l'autorité compétente pour les incidents critiques, rapport intermédiaire en 72h, rapport final en 1 mois. En 2025, les premières notifications ont révélé des lacunes dans les processus de classification.
- Tests de résilience opérationnelle numérique — Tests TLPT (Threat-Led Penetration Testing) obligatoires tous les 3 ans pour les entités significatives. Premier cycle en cours en 2026.
- Gestion du risque tiers TIC — Due diligence obligatoire sur tous les prestataires TIC, clauses contractuelles DORA dans les contrats. Le registre des prestataires TIC doit être communiqué aux superviseurs.
- Partage d'informations cyber — Participation aux dispositifs de partage d'informations sur les cybermenaces (volontaire pour la plupart des entités).
État des contrôles en 2026
| Axe de contrôle | Avancement moyen des établissements | Points de vigilance |
|---|---|---|
| Gouvernance ICT | 75 % | Documentation du RACI, formation du CA |
| Gestion des incidents | 65 % | Classification, délais de notification |
| Tests TLPT | 40 % | Sélection prestataires testeurs accrédités |
| Risque tiers TIC | 55 % | Inventaire complet, clauses contractuelles |
| Registre prestataires | 50 % | Format exigé par RTS, exhaustivité |
Sanctions prévues par DORA
DORA ne prévoit pas de sanctions fixes mais habilite les autorités nationales à imposer des mesures administratives. En France, l'ACPR peut :
- Émettre des recommandations et injonctions contraignantes
- Imposer une astreinte journalière (jusqu'à 1 % du chiffre d'affaires journalier moyen)
- Retirer l'agrément en cas de manquements graves persistants
Pour approfondir : comment constituer le registre des prestataires TIC et la checklist de conformité DORA 2025.
FAQ — DORA 2026
Depuis quand DORA est-il applicable ?
DORA est entré en vigueur le 17 janvier 2025. Les contrôles des superviseurs européens (BCE, autorités nationales) s'intensifient en 2026.
Les petites fintech sont-elles soumises à DORA ?
Oui, si elles disposent d'un agrément dans l'UE (établissement de paiement, PSCA, etc.). Un régime proportionnel allégé s'applique pour les "microentreprises" (moins de 10 salariés, bilan < 2M€).
Qu'est-ce que le TLPT dans DORA ?
Le Threat-Led Penetration Testing est un test d'intrusion avancé basé sur des scénarios de cybermenaces réelles. Il est obligatoire tous les 3 ans pour les entités financières significatives désignées par les superviseurs.
Quelle est la différence entre DORA et NIS2 ?
NIS2 est une directive générale sur la cybersécurité applicable à de nombreux secteurs. DORA est un règlement sectoriel financier qui va plus loin en matière de résilience opérationnelle numérique. Pour les entités financières, DORA prime sur NIS2 (lex specialis).