Mise en conformité DORA Être recontacté

Conformité · règlement (UE) 2022/2554

Conformité DORA : ce que le règlement (UE) 2022/2554 exige, et comment l'atteindre.

La conformité à DORA ne se résume pas à un document : c'est un dispositif vivant de résilience opérationnelle numérique, tenu à jour et démontrable à l'ACPR ou à l'AMF. Voici les cinq piliers du règlement, ce qu'ils impliquent concrètement, et comment cadrer votre démarche. Décrivez votre situation, un expert vous oriente.

Décrire ma situation à un expert Cas urgent (demande ACPR/AMF) : être rappelé sous 24 h

Vérifié · juin 2026 · Règlement (UE) 2022/2554 · application 17 janvier 2025 · ACPR / AMF

Qualification

Décrire votre situation DORA

Quelques éléments de cadrage, puis vos coordonnées. Un expert vous recontacte sous 48 h ouvrées (sous 24 h en cas d'urgence supervisée).

Réponse sous 48 h ouvrées (24 h si urgence supervisée) · sans engagement · données utilisées pour cette demande uniquement

Le motif du règlement

Les 5 piliers de DORA, en colonnes de contrôle

Le règlement (UE) 2022/2554 organise la résilience opérationnelle numérique autour de cinq piliers. C'est la grille de lecture de toute mise en conformité : chaque pilier appelle des preuves distinctes.

  1. Gestion du risque lié aux TICGouvernance, cartographie des fonctions critiques, continuité d'activité testée.
  2. Incidents TICDétection, classification et notification des incidents majeurs aux autorités.
  3. Tests de résilienceTests réguliers du dispositif TIC ; TLPT pour certaines entités.
  4. Risque prestataires tiers TICClauses obligatoires, criticité, registre d'information annuel.
  5. Partage d'informationsÉchange volontaire de renseignements sur les cybermenaces.

Vérifié · juin 2026 · Règlement (UE) 2022/2554, résumé EUR-Lex · ACPR

La démarche

Une conformité qui se démontre, pas un document de façade

Être conforme à DORA, c'est tenir un dispositif effectif couvrant les cinq piliers et pouvoir en faire la preuve à l'ACPR ou à l'AMF. Le règlement (UE) 2022/2554 attend des éléments concrets :

  1. Gouvernance du risque TICun cadre de contrôle interne qui identifie, cartographie et surveille en continu les fonctions et actifs critiques.
  2. Notification des incidentsdétecter, classifier et notifier les incidents majeurs aux autorités compétentes dans les délais imposés.
  3. Tests de résilienceun programme de tests réguliers ; pour certaines entités, des tests de pénétration fondés sur la menace (TLPT).
  4. Registre des prestataires TICun registre d'information à jour des accords contractuels, communiqué au moins une fois par an, avec clauses obligatoires et évaluation de criticité.
  5. Partage d'informationsla possibilité, volontaire, d'échanger des renseignements sur les cybermenaces.

Selon votre catégorie d'entité, le principe de proportionnalité allège certaines exigences (microentreprises notamment). Pour le détail par secteur : obligations DORA du secteur bancaire, la conformité DORA des assureurs, et la tenue du registre des prestataires TIC.

Levée d'objections

Questions fréquentes sur la conformité DORA

Que signifie « être conforme à DORA » ?

Disposer d'un dispositif effectif couvrant les cinq piliers du règlement (UE) 2022/2554 : un cadre de gestion du risque lié aux TIC, un processus de classification et de notification des incidents, un programme de tests de résilience, une maîtrise du risque lié aux prestataires tiers TIC (dont le registre d'information), et la capacité d'en faire la preuve auprès du superviseur.

DORA est-il une directive ou un règlement ?

Un règlement : le règlement (UE) 2022/2554. Il est d'application directe, sans transposition en droit national. C'est une différence de fond avec une directive comme NIS2 (directive UE 2022/2555), qui nécessite, elle, une transposition par chaque État membre.

Qu'est-ce que le registre d'information des prestataires TIC ?

Les entités financières doivent tenir un registre d'information (RoI) à jour de leurs accords contractuels conclus avec leurs prestataires de services TIC, et le communiquer à l'autorité compétente au moins une fois par an. C'est l'un des livrables les plus attendus du pilier « risque tiers ».

Quelles clauses contractuelles DORA impose-t-il avec les prestataires TIC ?

Le règlement impose des clauses contractuelles obligatoires dans les contrats avec les prestataires TIC, ainsi qu'une évaluation de la criticité de chaque prestataire. Le risque tiers est traité comme une composante à part entière du risque lié aux TIC.

Faut-il être conforme même en tant que microentreprise ?

Le règlement prévoit un principe de proportionnalité : les microentreprises sont exemptées de certaines exigences. Le périmètre exact des allègements dépend de la catégorie d'entité ; le texte du règlement et les normes techniques (RTS/ITS) en précisent les contours.

Quelle différence entre DORA et le RGPD ?

Le RGPD (règlement UE 2016/679) protège les données personnelles. DORA vise la résilience opérationnelle numérique et le risque TIC du secteur financier. Les deux périmètres sont distincts et cumulatifs : se conformer à DORA ne dispense pas du RGPD, et inversement.

Transparence

Comment ce contenu est produit

Sources officielles

Chaque fait réglementaire renvoie au texte du règlement (UE) 2022/2554 (EUR-Lex), à l'ACPR, à l'AMF ou aux autorités européennes (EBA, EIOPA, ESMA). La qualification « règlement » est rappelée, pas confondue avec une directive.

Vérifié et daté

Les références sont relues et datées (juin 2026). DORA reste un cadre en construction (normes techniques RTS/ITS) : le contenu est corrigé au fil des évolutions.

Pas de conseil juridique

Ce site informe et outille votre démarche de conformité ; il ne remplace pas l'avis d'un professionnel sur votre situation, ni l'appréciation de votre autorité compétente.

Un audit pour mesurer votre point de départ

Avant de bâtir le dispositif, un audit DORA mesure précisément votre écart au règlement. La demande se fait sans engagement, réponse sous 48 h ouvrées.

un audit DORA