Diagnostic de conformité · règlement (UE) 2022/2554

Audit DORA : le diagnostic qui mesure votre écart au règlement (UE) 2022/2554.

Un audit DORA établit, pilier par pilier, l'écart entre votre dispositif actuel et les exigences du règlement (UE) 2022/2554 : gouvernance du risque TIC, notification des incidents, tests de résilience, registre des prestataires. Vous repartez avec une trajectoire priorisée. Décrivez votre situation, réponse sous 48 h ouvrées, sans engagement.

Demander mon audit DORA Cas urgent (demande ACPR/AMF) : être rappelé sous 24 h

Vérifié · juin 2026 · Règlement (UE) 2022/2554 · application 17 janvier 2025 · ACPR / AMF

Qualification

Décrire votre situation DORA

Quelques éléments de cadrage, puis vos coordonnées. Un expert vous recontacte sous 48 h ouvrées (sous 24 h en cas d'urgence supervisée).

Type d'entité Votre besoin Échéance / urgence Nom Email professionnel Téléphone (optionnel) Entreprise Précisions utiles (facultatif)

Réponse sous 48 h ouvrées (24 h si urgence supervisée) · sans engagement · données utilisées pour cette demande uniquement

Le motif du règlement

Les 5 piliers de DORA, en colonnes de contrôle

Le règlement (UE) 2022/2554 organise la résilience opérationnelle numérique autour de cinq piliers. C'est la grille de lecture de toute mise en conformité : chaque pilier appelle des preuves distinctes.

Gestion du risque lié aux TICGouvernance, cartographie des fonctions critiques, continuité d'activité testée.
Incidents TICDétection, classification et notification des incidents majeurs aux autorités.
Tests de résilienceTests réguliers du dispositif TIC ; TLPT pour certaines entités.
Risque prestataires tiers TICClauses obligatoires, criticité, registre d'information annuel.
Partage d'informationsÉchange volontaire de renseignements sur les cybermenaces.

Vérifié · juin 2026 · Règlement (UE) 2022/2554, résumé EUR-Lex · ACPR

Le périmètre

Ce que l'audit mesure, pilier par pilier

L'audit confronte votre dispositif actuel aux exigences du règlement (UE) 2022/2554 et restitue un écart priorisé :

Pilier 1 : maturité de la gouvernance du risque TIC et de la cartographie des fonctions critiques.
Pilier 2 : capacité à détecter, classifier et notifier les incidents majeurs.
Pilier 3 : existence et pertinence du programme de tests ; exposition au TLPT.
Pilier 4 : tenue du registre d'information des prestataires TIC, clauses contractuelles, criticité.
Pilier 5 : dispositif de partage d'informations sur les cybermenaces.

L'audit établit un état des lieux et une trajectoire ; il ne se substitue pas à l'appréciation de l'autorité compétente. Pour la suite logique : la conformité DORA et l'accompagnement par un expert DORA.

Levée d'objections

Questions fréquentes sur l'audit DORA

Que couvre un audit de conformité DORA ?

Les cinq piliers du règlement (UE) 2022/2554 : la gestion du risque lié aux TIC (gouvernance, cartographie des fonctions critiques), la gestion et la notification des incidents, les tests de résilience opérationnelle numérique, la gestion du risque lié aux prestataires tiers TIC (dont le registre d'information), et la gouvernance d'ensemble. L'audit identifie les écarts et les priorise.

À qui s'adresse un audit DORA ?

Aux entités financières dans le champ du règlement (banques, assurances, entreprises d'investissement, gestionnaires de fonds, et autres) ainsi qu'à leurs prestataires tiers de services TIC qui doivent aligner leurs contrats et leur dispositif sur les exigences de leurs clients financiers.

Combien de temps prend un audit DORA ?

Cela dépend de la taille de l'entité, du nombre de fonctions critiques et de prestataires TIC concernés. La durée et le périmètre précis sont posés après un premier cadrage de votre situation.

L'audit garantit-il ma conformité ?

Un audit établit un état des lieux et une trajectoire ; il ne se substitue pas à la mise en œuvre du dispositif ni à l'appréciation de l'autorité compétente (ACPR, AMF). C'est le point de départ documenté d'une démarche de conformité, pas un label délivré par le site.

Mon entité est-elle soumise aux tests TLPT ?

Les tests de pénétration fondés sur la menace (TLPT) ne concernent que certaines entités présentant une importance pour la stabilité financière. La liste n'est pas publique : l'autorité compétente contacte bilatéralement les entités concernées. L'audit clarifie si ce pilier vous concerne et, le cas échéant, comment vous y préparer.

Que se passe-t-il après ma demande ?

Vous êtes recontacté sous 48 h ouvrées pour cadrer le périmètre (catégorie d'entité, fonctions critiques, prestataires TIC) et recevoir une proposition. Sans engagement à ce stade ; vos données ne servent qu'à cette demande.

Transparence

Comment ce contenu est produit

Sources officielles

Chaque fait réglementaire renvoie au texte du règlement (UE) 2022/2554 (EUR-Lex), à l'ACPR, à l'AMF ou aux autorités européennes (EBA, EIOPA, ESMA). La qualification « règlement » est rappelée, pas confondue avec une directive.

Vérifié et daté

Les références sont relues et datées (juin 2026). DORA reste un cadre en construction (normes techniques RTS/ITS) : le contenu est corrigé au fil des évolutions.

Pas de conseil juridique

Ce site informe et outille votre démarche de conformité ; il ne remplace pas l'avis d'un professionnel sur votre situation, ni l'appréciation de votre autorité compétente.

Au-delà du diagnostic

Une fois les écarts mesurés, la mise en conformité se construit pilier par pilier. Décrivez votre situation, un expert cadre la trajectoire.

la conformité DORA