Cadre réglementaire
Cadre Mis à jour le 30/01/2026

DORA — cadre de résilience opérationnelle numérique

Digital Operational Resilience Act — applicable depuis le 17 janvier 2025.

Qu'est-ce que DORA ?

DORA est un règlement européen qui établit un cadre harmonisé de résilience opérationnelle numérique pour le secteur financier. Son objectif : garantir que les entités financières puissent prévenir, détecter, répondre et se rétablir face aux incidents ICT (pannes, cyberattaques, défaillances de prestataires).

Qui produit les règles ?

Union européenne

  • Commission européenne — Adopte les actes délégués et d'exécution DORA
  • ESAs / Joint Committee (EBA, ESMA, EIOPA) — Élaborent les RTS/ITS, coordonnent la mise en œuvre
  • ESAs — fonction oversight — Supervision des prestataires ICT critiques (CTPP)

France

  • ACPR — Banque, paiement, monnaie électronique, assurance
  • AMF — Entreprises d'investissement, infrastructures de marché, CASP

Qui est concerné ?

CatégorieExemples d'entités
BanqueÉtablissements de crédit
MarchésEntreprises d'investissement, infrastructures de marché, contreparties centrales
PaiementsPSP, EME
AssuranceEntreprises d'assurance et de réassurance, intermédiaires
CryptoCASP régulés UE
Gestion d'actifsSociétés de gestion (UCITS, AIFM)

Prestataires ICT critiques (CTPP) : soumis à un oversight européen direct par les ESAs, avec désignation d'un Lead Overseer.

Quelles sont les obligations ?

  • A — Gouvernance et responsabilité du risque ICT : l'organe de direction assume la responsabilité ultime
  • B — Cadre de gestion du risque ICT : politiques, processus, mesures de protection et détection
  • C — Gestion des incidents ICT : détection, classification, escalade, réponse, remédiation
  • D — Notification des incidents majeurs : notification aux autorités compétentes (critères et formats harmonisés)
  • E — Tests de résilience : programme de tests, y compris TLPT pour certaines entités
  • F — Gestion du risque prestataires ICT : clauses contractuelles, suivi, stratégies de sortie
  • G — Registre d'information des contrats ICT : format et exigences définis par ITS
  • H — Partage d'information et coopération : dispositifs volontaires de partage de menaces

Dates clés

DateÉtape
14/12/2022Adoption du règlement DORA (UE) 2022/2554
27/12/2022Publication au Journal officiel de l'UE
17/01/2025Entrée en application
30/04/2025Échéance indicative transmission registres d'information aux ESAs

Sources

EUR-Lex Règlement (UE) 2022/2554 — DORA Voir la source
Commission européenne Actes délégués et d'exécution DORA Voir la source
ACPR Page DORA Voir la source
AMF Dossier DORA Voir la source
Retrouvez l'ensemble des textes DORA dans la Base réglementaire.
← Toutes les ressources