DORA

Digital Operational Resilience Act : Résilience opérationnelle numérique du secteur financier

DORA impose des exigences uniformes de résilience opérationnelle numérique à l'ensemble des entités financières de l'UE. Il couvre cinq piliers :

gestion des risques TIC
gestion et signalement des incidents TIC
tests de résilience (dont tests de pénétration avancés TLPT)
gestion des risques liés aux prestataires tiers
partage d'informations sur les cybermenaces

Consulter le texte officiel sur EUR-Lex

Contexte

Le secteur financier est l'un des plus exposés aux risques cyber. Les incidents informatiques dans les banques peuvent provoquer des crises systémiques. Avant DORA, les exigences de résilience numérique étaient fragmentées entre diverses directives sectorielles. DORA crée un cadre unique et horizontal.

Champ d'application

Il s'applique à plus de 20 types d'entités financières opérant dans l'UE :

établissements de crédit (banques)
entreprises d'investissement
établissements de paiement
assurances et réassurances
sociétés de gestion d'actifs
fonds de pension
contreparties centrales
agences de notation de crédit
prestataires de services sur crypto-actifs relevant de MiCA

Sont également concernés les prestataires tiers critiques de services TIC (fournisseurs cloud, éditeurs de logiciels bancaires) qui seront soumis à une supervision directe des autorités européennes.

Acteurs concernés

Entités financières (banques, assurances, sociétés de gestion, PSP)Prestataires tiers critiques de services TIC (cloud, SaaS)Autorités européennes de surveillance (ABE, AEAPP, AEMF)Autorités nationales de supervision financière (ACPR, AMF en France)Superviseur principal (Lead Overseer) pour les prestataires tiers critiques