DORA pour les banques : obligations du secteur bancaire

02L'essentiel

Ce qu'il faut retenir

Les banques relèvent de l'ACPR pour DORA, et de la BCE pour les établissements de crédit importants sur certains aspects (dont l'identification au titre des tests TLPT). Les cinq piliers du règlement structurent le dispositif attendu.

03En détail

Ce que le règlement implique ici

Les établissements de crédit figurent parmi les premières entités visées par DORA. Le règlement (UE) 2022/2554 leur impose un cadre complet de gestion du risque lié aux TIC, applicable depuis le 17 janvier 2025.

En France, l'ACPR supervise l'application de DORA aux banques. Pour les établissements de crédit importants, la BCE intervient également sur certains volets, notamment l'identification des entités soumises aux tests de pénétration fondés sur la menace (TLPT), dont la liste reste confidentielle.

Les cinq piliers structurent le dispositif bancaire : gouvernance et cartographie du risque TIC, notification des incidents majeurs, programme de tests de résilience, maîtrise du risque prestataires tiers avec registre d'information, et partage volontaire d'informations sur les cybermenaces.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit DORA pose le point de départ documenté de votre démarche.