Chaque fait réglementaire renvoie au texte du règlement (UE) 2022/2554 (EUR-Lex), à l'ACPR, à l'AMF ou aux autorités européennes (EBA, EIOPA, ESMA). La qualification « règlement » est rappelée, pas confondue avec une directive.
Règlement (UE) 2022/2554 · résilience opérationnelle numérique
Mise en conformité DORA : du règlement (UE) 2022/2554 à votre dispositif de résilience.
DORA est le règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable depuis le 17 janvier 2025. Banques, assurances, entreprises d'investissement et prestataires TIC : cadrez votre conformité pilier par pilier, sources officielles à l'appui. Décrivez votre situation, un expert vous rappelle.
Vérifié · juin 2026 · Règlement (UE) 2022/2554 · application 17 janvier 2025 · ACPR / AMF
Diagnostic rapide
Votre situation oriente la démarche.
Trois critères pour une première orientation : checklist de cadrage, diagnostic de conformité ou revue des contrats prestataires.
Orientation indicative, sans valeur d'avis juridique. Décrire ma situation à un expert.
Le motif du règlement
Les 5 piliers de DORA, en colonnes de contrôle
Le règlement (UE) 2022/2554 organise la résilience opérationnelle numérique autour de cinq piliers. C'est la grille de lecture de toute mise en conformité : chaque pilier appelle des preuves distinctes.
-
Gestion du risque lié aux TICGouvernance, cartographie des fonctions critiques, continuité d'activité testée.
-
Incidents TICDétection, classification et notification des incidents majeurs aux autorités.
-
Tests de résilienceTests réguliers du dispositif TIC ; TLPT pour certaines entités.
-
Risque prestataires tiers TICClauses obligatoires, criticité, registre d'information annuel.
-
Partage d'informationsÉchange volontaire de renseignements sur les cybermenaces.
Vérifié · juin 2026 · Règlement (UE) 2022/2554, résumé EUR-Lex · ACPR
Le texte
DORA : un règlement, pas une directive ni une « loi dora »
DORA est le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Entré en vigueur le 27 décembre 2022, il est applicable depuis le 17 janvier 2025.
Un point de vocabulaire qui a des conséquences juridiques : DORA est un règlement, d'application directe dans tous les États membres, sans transposition nationale. Les formulations « directive dora », « norme dora » ou « loi dora » sont impropres. La distinction avec une directive (comme NIS2, directive UE 2022/2555, qui se transpose) n'est pas qu'un détail de forme : elle change la façon dont le texte s'impose.
Pour aller plus loin sur la définition et le champ d'application, voyez la mise en conformité DORA et le périmètre d'application de DORA.
Qui supervise
ACPR et AMF : les autorités compétentes en France
En France, l'ACPR (Autorité de contrôle prudentiel et de résolution) et l'AMF (Autorité des marchés financiers) sont les autorités compétentes pour DORA. L'ACPR supervise notamment les banques et les assurances ; l'AMF, les entreprises d'investissement, sociétés de gestion et infrastructures de marché.
Les trois autorités européennes de surveillance, EBA (banque), EIOPA (assurance), ESMA (marchés), élaborent les normes techniques (RTS/ITS) qui précisent les obligations du règlement.
Selon votre profil, approfondissez par secteur : la conformité DORA des banques, DORA dans l'assurance, la sécurité TIC sous DORA.
Levée d'objections
Questions fréquentes sur la conformité DORA
DORA est-il une directive, une norme ou une loi ?
Aucun des trois : DORA est un règlement européen, le règlement (UE) 2022/2554. Un règlement s'applique directement dans tous les États membres, sans transposition nationale (contrairement à une directive comme NIS2). Les formulations « directive DORA », « norme DORA » ou « loi DORA » sont juridiquement impropres : la qualification exacte est règlement.
Depuis quand DORA s'applique-t-il ?
Le règlement est entré en vigueur le 27 décembre 2022 et est entré en application le 17 janvier 2025. Depuis cette date, les entités financières concernées doivent disposer du dispositif de gestion du risque lié aux TIC prévu par le texte.
Qui est concerné par DORA ?
Un large périmètre de catégories d'entités financières : établissements de crédit, établissements de paiement et de monnaie électronique, entreprises d'investissement, gestionnaires de fonds, entreprises d'assurance et de réassurance, contreparties centrales, dépositaires centraux, agences de notation, entre autres, ainsi que leurs prestataires tiers critiques de services TIC. Bien au-delà des seules banques.
Quelles sont les exigences principales de DORA ?
Le règlement s'articule autour de cinq piliers : la gestion du risque lié aux TIC, la gestion et la notification des incidents TIC, les tests de résilience opérationnelle numérique, la gestion du risque lié aux prestataires tiers TIC, et le partage volontaire d'informations sur les cybermenaces.
Qui supervise DORA en France ?
En France, l'ACPR (Autorité de contrôle prudentiel et de résolution) et l'AMF (Autorité des marchés financiers) sont les autorités compétentes. L'ACPR supervise notamment les banques et assurances ; l'AMF, les entreprises d'investissement, sociétés de gestion et infrastructures de marché.
Par où commencer sa mise en conformité ?
Par un état des lieux pilier par pilier : gouvernance du risque TIC, cartographie des fonctions critiques, processus de notification des incidents, programme de tests, et registre d'information des prestataires TIC. Cet écart entre l'existant et les exigences donne la trajectoire. Un diagnostic structure cette première étape.
Transparence
Comment ce contenu est produit
Les références sont relues et datées (juin 2026). DORA reste un cadre en construction (normes techniques RTS/ITS) : le contenu est corrigé au fil des évolutions.
Ce site informe et outille votre démarche de conformité ; il ne remplace pas l'avis d'un professionnel sur votre situation, ni l'appréciation de votre autorité compétente.
Et maintenant
Passer à l'action
Le plus direct : décrivez votre situation, un expert vous rappelle et cadre votre trajectoire de conformité DORA. Vous préférez d'abord faire le point seul ? Recevez la checklist par e-mail.
Réponse sous 48 h ouvrées · sans engagement · données utilisées pour cette demande uniquement