Mis à jour le 23 avril 2026 — intègre les RTS et ITS adoptés en 2024 et les premières positions ACPR/AMF post-application.
Le règlement DORA est probablement le texte européen le plus sous-estimé du cycle 2022-2024. Tout le monde a parlé de l'AI Act. Beaucoup ont parlé de CSRD. DORA, lui, est entré en application le 17 janvier 2025 sans tambours ni trompettes, et trois mois après, les questions qui arrivaient à l'ACPR tournaient toutes autour du même sujet : concrètement, qu'est-ce que vous attendez de nous ?
La réponse tient en un mot : de la documentation. DORA ne demande pas aux entités financières d'être cyber-résilientes — elles sont censées l'être déjà, au titre des textes sectoriels existants. Ce que DORA demande, c'est de prouver qu'on l'est, selon un format harmonisé, avec un registre d'informations sur les prestataires tiers, un inventaire des incidents, une cartographie des risques TIC, et un programme de tests qui tient debout.
Cette page explique ce que dit le règlement (UE) 2022/2554, article par article quand ça compte, et en prenant du recul quand le texte est ambigu. Pour le périmètre, les textes d'application et les positions françaises, le registre réglementaire DORA de ce site tient l'index à jour.
Note éditoriale. Nous citons les articles à la lettre quand nous les citons, et nous le précisons quand nous interprétons. En cas de différence entre un résumé sur cette page et le texte consolidé, le texte officiel fait foi. Si vous rédigez une politique, ouvrez l'ELI et lisez l'article — DORA est un règlement court et bien structuré, il se lit vite.
Pourquoi un règlement, pas une directive
DORA est un règlement. Directement applicable dans les 27 États membres sans transposition nationale. Ce choix législatif n'est pas anodin : il signifie que l'article 5 de DORA produit ses effets en France exactement comme à Francfort ou à Dublin, sans possibilité pour un régulateur national d'adapter le texte.
Le choix du règlement a été un point politique. Le secteur avait poussé pour une directive (plus de flexibilité nationale). La Commission a préféré l'harmonisation maximale — à juste titre, pour deux raisons. D'abord, parce que le secteur financier est intrinsèquement transfrontière et que des régimes nationaux différenciés auraient créé des arbitrages réglementaires. Ensuite, parce que le sujet cyber est trop horizontal pour être laissé à 27 traductions nationales : quand un prestataire cloud américain sert à la fois BNP Paribas, Deutsche Bank et Santander, il vaut mieux un seul texte.
Conséquence pratique : pas d'ordonnance française de transposition. Vous citez directement l'article 2022/2554 du règlement. Les textes nationaux qui gravitent autour (lignes directrices ACPR, positions AMF, décrets de coordination) n'ajoutent rien à la substance du règlement — ils en précisent l'application, quand ils la précisent.
Qui est concerné — l'article 2 décodé
L'article 2 du règlement liste les entités financières soumises à DORA. La lecture brute donne environ 21 catégories, ce qui est trompeur — la plupart des groupes financiers cochent plusieurs cases à la fois. Les catégories les plus larges :
- Établissements de crédit (banques)
- Entreprises d'investissement (PSI)
- Sociétés de gestion (SGP, UCITS, AIFM)
- Établissements de paiement et de monnaie électronique
- Prestataires de services crypto-actifs (CASP, depuis MiCA)
- Infrastructures de marché (CCP, CSD, plateformes de négociation)
- Entreprises d'assurance et de réassurance, IORP
- Agences de notation, prestataires de données, gestionnaires de fonds monétaires
- Organismes de titrisation
Deux zones grises dans ce périmètre. Premièrement, les micro-entreprises — moins de 10 salariés et moins de 2 millions d'euros de total bilan — bénéficient d'obligations allégées au titre de l'article 16 (principe de proportionnalité), mais ne sont pas exclues. En pratique, cela concerne les petits courtiers en assurance et quelques boutiques d'investissement. Deuxièmement, les prestataires tiers TIC critiques (CTPP) ne sont pas soumis à DORA directement en tant qu'entités financières, mais font l'objet d'une surveillance européenne directe au titre du chapitre V — c'est le régime le plus original du règlement, traité en détail plus bas.
Point qu'on oublie souvent : les groupes mondiaux avec une filiale réglementée en UE. Une banque américaine opérant à Paris via une succursale est, pour cette succursale, soumise à DORA. Le groupe tout entier peut ne pas l'être, mais dès qu'il y a une entité régulée dans l'UE, il y a DORA — et la politique groupe devra, en pratique, intégrer le standard européen sur toutes les filiales qui interagissent avec cette entité UE.
Les 5 piliers et les articles qui comptent
Structurellement, DORA est organisé en 9 chapitres, mais le marché parle de 5 piliers opérationnels. Voici la correspondance qu'utilisent les équipes compliance et IT dans les faits.
| Pilier | Chapitre | Articles clés | Ce qu'on vous demande de produire |
|---|---|---|---|
| 1. Gestion des risques TIC | II | 5, 6, 9-15 | Cadre de gestion des risques TIC, politique de sécurité, procédures de continuité, programme de formation — validés par le conseil d'administration |
| 2. Incidents TIC et cybermenaces | III | 17-23 | Procédure de classification des incidents (selon RTS 2024/1772), notification aux autorités dans les 4h initiales / 72h intermédiaire / 1 mois final |
| 3. Tests de résilience | IV | 24-27 | Programme pluriannuel de tests, tests de pénétration, TLPT tous les 3 ans pour les entités désignées |
| 4. Risques tiers TIC | V | 28-44 | Registre d'informations (format ITS 2024/2956), politique de gestion des prestataires, clauses contractuelles obligatoires de l'article 30 |
| 5. Partage d'informations | VI | 45 | Faculté (pas obligation) de participer à des accords de partage d'informations sur les cybermenaces, dans le respect des règles de protection des données |
Article 5 — la gouvernance qui remonte au conseil
L'article 5 est le premier piège pour beaucoup d'entités qui avaient délégué le sujet TIC à la DSI. Il exige que le conseil d'administration (ou équivalent) assume la responsabilité ultime de la gestion des risques TIC. Pas le DSI, pas le CISO, pas le COO — le conseil. En pratique, cela signifie : revue annuelle du cadre par le conseil, formation des administrateurs au risque cyber (article 5, §4), et validation des décisions majeures de tolérance au risque TIC au niveau board.
Pour la plupart des mid-caps financiers français, c'est la réforme de gouvernance la plus lourde du règlement. Un conseil qui ne comprenait rien au cyber en 2023 doit désormais être en capacité de challenger les indicateurs qu'on lui présente. Les formations "cyber pour dirigeants" vendues par les big four en 2024-2025 viennent directement de cette exigence.
Articles 17-23 — la notification, là où le calendrier devient serré
Le chapitre III fixe une discipline de notification d'incident qui ressemble à celle de la DGCCRF sur les breach de données personnelles, en plus strict. Quand un incident TIC est classé majeur selon les critères du RTS 2024/1772, les entités doivent notifier leur autorité compétente (ACPR ou AMF en France) :
- Notification initiale : dans les 4 heures après qualification de l'incident comme majeur, et au plus tard 24 heures après sa découverte
- Notification intermédiaire : sous 72 heures, avec description mise à jour
- Rapport final : sous 1 mois, avec analyse d'impact et mesures correctives
Quatre heures, c'est court. En pratique, cela force les entités à avoir une procédure on-call 24/7 avec des critères de classification automatisables. Les délais ne se négocient pas — ils sont de droit. Ce qui se négocie, en revanche, c'est ce qui est considéré comme "majeur". Et c'est là que le RTS 2024/1772 a bien fait son travail.
Articles 28-44 — le pilier tiers qui refait toute la gestion contractuelle
Le chapitre V est, à notre avis, l'innovation la plus lourde de DORA. L'article 30 impose des clauses contractuelles obligatoires pour tout accord avec un prestataire TIC : localisation du traitement des données, droits d'audit, obligations de coopération avec les autorités, clauses de sortie, SLA. Ces clauses doivent figurer dans tous les contrats TIC — y compris les contrats cloud existants, qui doivent être renégociés si besoin.
Pour un groupe avec 2 000 contrats prestataires actifs, le chantier est industriel. La plupart des grands établissements français ont monté des programmes de "DORA contract remediation" en 2024 pour atteindre la conformité au 17 janvier 2025. Le coût moyen constaté, d'après les signatures que nous voyons dans la presse spécialisée, tourne entre 500 k€ et 5 M€ selon la taille du groupe — principalement des honoraires d'avocats spécialisés en droit financier et technologique.
RTS et ITS : ce que la Commission a ajouté en 2024
DORA est un règlement relativement compact. Les détails opérationnels sont dans les règlements délégués et d'exécution adoptés par la Commission sur proposition des ESA (EBA, ESMA, EIOPA). Au 23 avril 2026, le corpus critique est le suivant :
- Règlement délégué (UE) 2024/1772 du 13 mars 2024 — critères de classification des incidents TIC majeurs et des cybermenaces importantes. Les critères sont cumulatifs : impact sur les clients, impact sur la réputation, durée, extension géographique, pertes financières, criticité des services. Seuils chiffrés dans l'annexe.
- Règlement d'exécution (UE) 2024/2956 du 29 novembre 2024 — modèle du registre d'informations sur les accords contractuels avec les prestataires tiers TIC. Ce registre doit être transmis aux autorités compétentes selon un calendrier fixé nationalement (en France : 15 avril 2025 pour la première remise à l'ACPR).
- Règlements délégués sur la politique de gestion des prestataires tiers (art. 28), sur la sous-traitance (art. 30), et sur les TLPT (art. 26) — certains sont en cours d'adoption, d'autres finalisés. Le registre réglementaire DORA tient la liste à jour.
Un point d'attention : les RTS sont des règlements délégués, directement applicables, mais la Commission a parfois mis plusieurs mois entre l'adoption formelle et la publication au JOUE. Vérifiez toujours la date de publication au JOUE et non la date d'adoption par la Commission — c'est la première qui déclenche l'application.
Prestataires tiers TIC critiques : le vrai game-changer
Si un élément de DORA mérite d'être retenu par les personnes qui ne liront jamais le texte en entier, c'est le régime des prestataires tiers TIC critiques (Critical Third-Party Providers, ou CTPP). Pour la première fois dans le droit européen, la Commission a créé un régime de surveillance directe, par les ESA, sur des entreprises qui ne sont pas elles-mêmes des institutions financières mais dont la défaillance menacerait le secteur financier dans son ensemble.
Les trois ESA (EBA, ESMA, EIOPA) ont désigné, en cours 2025 et début 2026, les prestataires critiques selon les critères de l'article 31 : importance systémique, concentration des services fournis, substituabilité, portée transfrontalière. Les hyperscalers cloud (AWS, Microsoft Azure, Google Cloud) sont les candidats évidents. Les éditeurs SaaS mondiaux utilisés par le secteur bancaire (Bloomberg, Murex, Temenos) et les opérateurs de services spécialisés (Fiserv, FIS, TCS) sont également concernés.
Ce qui est nouveau pour ces acteurs : l'article 35 leur impose des obligations de coopération, d'audit, de transparence tarifaire, et de clauses contractuelles minimales. Et l'article 37 prévoit des astreintes pouvant aller jusqu'à 1 % du chiffre d'affaires mondial quotidien moyen en cas de non-conformité. Pour un hyperscaler avec 100 milliards de revenus annuels, cela représente environ 2,7 millions d'euros par jour d'astreinte — un chiffre qui a fait bouger des stratégies compliance à Seattle et à Redmond.
Pour les institutions financières, l'intérêt pratique est que la relation contractuelle avec un CTPP devient plus structurée. Les CTPP ont désormais intérêt à proposer des clauses DORA-compliant par défaut, ce qui réduit le coût de renégociation. La contrepartie, c'est que les hyperscalers commencent à répercuter le coût de leur conformité DORA dans les prix — l'économie du cloud financier en 2026 est mesurablement plus chère qu'en 2023.
Ce que l'ACPR et l'AMF attendent concrètement
Passé le 17 janvier 2025, l'ACPR et l'AMF ont publié leurs premières grilles de contrôle. Les axes qu'elles privilégient en 2026, d'après ce que nous voyons dans leurs publications officielles et les retours de place :
Priorité 1 : le registre d'informations sur les prestataires tiers. C'est le livrable le plus facile à auditer et le premier qu'elles demandent. Le format est fixé par l'ITS 2024/2956. Les manques les plus fréquents : prestataires oubliés (typiquement les outils métier utilisés en direct par les directions sans passer par la DSI), localisation des données incorrecte, critères de criticité mal appliqués.
Priorité 2 : la gouvernance (article 5). L'ACPR demande aux conseils d'administration de démontrer leur niveau de connaissance du sujet TIC. En pratique, elle examine les procès-verbaux du conseil, la fréquence des points dédiés cyber, et le contenu des formations suivies par les administrateurs. Un conseil qui n'a pas un point DORA trimestriel à l'ordre du jour est un signal d'alerte.
Priorité 3 : la procédure de notification d'incident. L'ACPR a simulé des incidents avec certaines entités sous contrôle pour vérifier que la procédure 4h / 72h / 1 mois fonctionne. Les manques typiques : absence de critère de classification automatisé, pas d'on-call 24/7 formalisé, enchevêtrement entre procédure DORA et procédure RGPD (breach).
L'AMF, de son côté, applique les Joint Guidelines des ESA sur la coopération de surveillance depuis le 17 janvier 2025 — qui structurent les échanges entre autorités nationales et ESA européennes pour les entités transfrontières. Pour les sociétés de gestion multi-juridictions, cela signifie en pratique un dialogue plus fluide entre AMF, CSSF (Luxembourg) et IMF (Irlande) sur les contrôles TIC.
OUTILS DORA
Cartographier vos prestataires tiers TIC avant la prochaine remise ACPR
La prochaine remise du registre d'informations tombe le 15 avril 2027. Un an avant, c'est le bon moment pour consolider la cartographie, identifier les contrats manquants et préparer les clauses article 30.
Guide pratique DORA → Registre des textes officielsCalendrier et points de bascule 2025-2026
| Date | Événement | Référence |
|---|---|---|
| 14 décembre 2022 | Adoption par le Parlement européen et le Conseil | Règlement (UE) 2022/2554 |
| 27 décembre 2022 | Publication au JOUE L 333 | JOUE |
| 16 janvier 2023 | Entrée en vigueur formelle | Art. 64 |
| 2024 | Adoption progressive des RTS et ITS par la Commission | Règlements délégués et d'exécution |
| 17 janvier 2025 | Date d'application — toutes les obligations deviennent exigibles | Art. 64 |
| 15 avril 2025 | Première remise du registre d'informations à l'ACPR (France) | Position ACPR |
| Courant 2025-2026 | Désignation progressive des CTPP par les ESA | Art. 31 |
| 2026+ | Premières vagues de contrôles ACPR-AMF sur la conformité DORA | Revue des grilles publiées |
| Mi-2027 (cible) | Premiers TLPT effectués par les entités désignées | Art. 26 |
Comment lire le texte officiel
Si vous devez être précis pour un comité d'audit, une note au conseil, ou une discussion avec l'ACPR, l'ordre de lecture que nous recommandons :
- Ouvrez le règlement (UE) 2022/2554 sur EUR-Lex via l'URI stable ELI. La version originale suffit — DORA n'a pas encore été amendé.
- Commencez par l'article 2 pour déterminer si vous êtes dans le périmètre. Puis l'article 16 pour savoir si vous êtes micro-entreprise et donc en obligations allégées.
- Cherchez les articles de vos enjeux : 5-6 pour la gouvernance, 17-23 pour les incidents, 24-27 pour les tests, 28-44 pour les tiers, 46-54 pour les sanctions et la coordination.
- Croisez avec les RTS et ITS sur EUR-Lex : 2024/1772 (classification incidents), 2024/2956 (modèle registre).
- Pour la lecture française : la page DORA de l'ACPR et le dossier DORA de l'AMF donnent la lecture nationale.
Conseil pratique : DORA est structuré de manière très pédagogique, avec des recitals (1 à 117) qui expliquent la logique politique du texte. Les recitals ne sont pas contraignants mais ils sont utiles pour argumenter une interprétation en cas de désaccord avec l'autorité.
Sources primaires
- Règlement (UE) 2022/2554 — EUR-Lex ELI
- Règlement délégué (UE) 2024/1772 — classification incidents
- Règlement d'exécution (UE) 2024/2956 — registre prestataires tiers
- ACPR — publications DORA
- ACPR — FAQ DORA
- AMF — dossier DORA
- AMF — Joint Guidelines oversight cooperation
- EBA — Digital Operational Resilience
Autres textes du registre
Historique des révisions
- 23 avril 2026 — Publication initiale. Intègre les RTS et ITS adoptés par la Commission en 2024, les premières positions ACPR et AMF post-17 janvier 2025, et le régime CTPP tel qu'il se déploie en 2025-2026. URL Légifrance et EUR-Lex vérifiées au 23 avril 2026.
Dora Finance Compliance Desk
Révisé le 23 avril 2026 contre EUR-Lex et les positions officielles ACPR et AMF.
Cette page est un guide structurel et éditorial du règlement DORA. Elle ne constitue pas un avis juridique. Dates, numéros d'articles et autorités ont été vérifiés contre EUR-Lex et les publications ACPR-AMF au 23 avril 2026 ; les commentaires interprétatifs sont notre lecture, explicitement signalés. Seuls les textes publiés au Journal officiel de l'Union européenne prévalent. Pour une décision engageante, ouvrez l'ELI et lisez l'article.