DORA (Digital Operational Resilience Act) est le règlement européen qui encadre la résilience numérique du secteur financier. Entré en application le 17 janvier 2025, il impose aux banques, assurances, sociétés de gestion et à leurs prestataires informatiques critiques un cadre unifié de gestion des risques liés aux technologies de l’information et de la communication (TIC). Contrairement au RGPD ou à NIS2, ce texte ne s’applique pas à toutes les organisations : voici son périmètre exact et ce qu’il impose.
Qu’est-ce que DORA et pourquoi ce règlement a été créé ?
DORA est le règlement (UE) 2022/2554 du 14 décembre 2022, entré en vigueur le 16 janvier 2023 avec une période de mise en conformité de 24 mois, pour une application effective depuis le 17 janvier 2025.
Avant DORA, la gestion des risques informatiques dans le secteur financier européen était dispersée dans plusieurs législations sectorielles : la directive CRD pour les banques, Solvabilité II pour les assurances, MiFID II pour les marchés. Ces règles variaient d’un État membre à l’autre, créant des complexités pour les acteurs transfrontaliers et des niveaux de protection inégaux. Parallèlement, la dépendance croissante du secteur financier aux prestataires technologiques externes (cloud, data centers) l’exposait à des risques systémiques nouveaux, difficiles à encadrer avec des textes sectoriels cloisonnés.
DORA répond à ce constat avec un objectif clair : garantir que les acteurs financiers européens soient capables de résister à un incident cyber ou à une défaillance technologique majeure, et de continuer à fournir leurs services critiques même en situation dégradée. En tant que règlement (et non directive), il s’applique directement dans tous les États membres sans transposition nationale.
Qui est concerné par DORA, et qui ne l’est pas
Le périmètre de DORA est large au sein du secteur financier, mais il reste circonscrit à ce secteur. Sont notamment concernés :
- Les établissements de crédit (banques)
- Les entreprises d’investissement et plateformes de négociation
- Les sociétés de gestion et fonds d’investissement
- Les compagnies d’assurance et de réassurance
- Les prestataires de services de paiement et les fintechs
- Les prestataires tiers de services TIC désignés comme critiques par les autorités européennes de supervision (ESMA, EBA, EIOPA) — notamment certains grands fournisseurs cloud
Le règlement prévoit un principe de proportionnalité : les micro-entreprises et certaines entités financières de petite taille bénéficient d’un cadre simplifié de gestion des risques TIC.
Ce que DORA ne couvre pas : les organisations hors secteur financier (associations, structures médico-sociales, organismes de formation, congrégations religieuses, entreprises non financières) ne sont pas soumises à DORA. Elles restent régies par le RGPD et, le cas échéant, par NIS2 pour leurs obligations de cybersécurité — deux textes aux logiques différentes mais parfois complémentaires avec DORA lorsqu’une organisation traite avec des acteurs financiers.
Les 5 piliers du règlement DORA
DORA structure ses obligations autour de cinq axes principaux :
- Gestion des risques liés aux TIC : identifier, cartographier et surveiller en continu les fonctions et actifs critiques, réaliser des évaluations périodiques des risques, établir et tester régulièrement des plans de continuité d’activité et de reprise après incident.
- Gestion et notification des incidents majeurs : détecter, documenter et classifier la gravité des incidents liés aux TIC selon les critères du règlement, et les signaler aux autorités compétentes (en France : ACPR ou AMF selon le secteur) dans des délais stricts.
- Tests de résilience opérationnelle numérique : programme de tests réguliers, incluant des tests d’intrusion avancés basés sur les menaces (TLPT — Threat-Led Penetration Testing) pour les entités les plus significatives.
- Gestion des risques liés aux prestataires tiers : encadrement contractuel renforcé des relations avec les fournisseurs TIC, et supervision européenne directe des prestataires désignés comme critiques.
- Partage d’informations sur les cybermenaces : dispositifs volontaires de partage entre entités financières, en coordination avec des points de référence comme le CERT-FR, dans le respect du RGPD et du secret professionnel bancaire.
DORA, RGPD et NIS2 : comment ces textes s’articulent
Pour une organisation du secteur financier, ces trois textes ne se substituent pas les uns aux autres : ils répondent à des logiques différentes qui se superposent souvent sur les mêmes systèmes et les mêmes équipes.
- Le RGPD encadre le traitement des données personnelles, quel que soit le secteur.
- NIS2 vise la cybersécurité et la continuité des services essentiels et importants, dans un périmètre sectoriel plus large que la finance.
- DORA est spécifique au secteur financier et se concentre sur la résilience opérationnelle face aux risques TIC, avec des exigences plus poussées que NIS2 sur ce périmètre précis (tests TLPT, supervision directe des prestataires critiques).
Dans la pratique, une entité financière soumise à DORA doit aussi rester attentive à ses obligations RGPD (notamment lors du partage d’informations sur les cybermenaces, qui peut impliquer des données personnelles) et vérifier si elle entre également dans le périmètre de NIS2 pour certaines de ses activités. C’est cette superposition de référentiels qui pousse de plus en plus d’organisations à structurer leur conformité de façon transverse plutôt que texte par texte — une logique que le Digital Omnibus cherche justement à mieux articuler au niveau européen.
FAQ – DORA
Depuis quand DORA s’applique-t-il ?
Le règlement est entré en vigueur le 16 janvier 2023, avec une période de mise en conformité de 24 mois. Il est pleinement applicable dans tous les États membres depuis le 17 janvier 2025.
Mon organisation est-elle concernée par DORA si elle n’est pas dans le secteur financier ?
Non, sauf si vous êtes un prestataire tiers de services TIC désigné comme critique par les autorités européennes de supervision pour des entités financières. Les organisations hors secteur financier restent soumises au RGPD et, le cas échéant, à NIS2, mais pas à DORA.
Quelle est la différence entre DORA et NIS2 ?
NIS2 s’applique à un large éventail de secteurs essentiels et importants (énergie, santé, transport, numérique…) avec des obligations générales de cybersécurité. DORA est spécifique au secteur financier et impose des exigences plus poussées et plus techniques sur ce périmètre, notamment les tests d’intrusion TLPT et la supervision directe des prestataires TIC critiques.
Qui supervise l’application de DORA en France ?
L’ACPR (Autorité de contrôle prudentiel et de résolution) supervise les banques et assurances. L’AMF (Autorité des marchés financiers) supervise les sociétés de gestion et acteurs des marchés financiers. Les deux autorités coordonnent leurs contrôles avec les autorités européennes de supervision (ESMA, EBA, EIOPA).
Que risque une entité qui ne respecte pas DORA ?
Les sanctions peuvent atteindre 2 % du chiffre d’affaires annuel mondial pour une entité financière, et jusqu’à 1 % du chiffre d’affaires mondial quotidien moyen pour un prestataire tiers TIC désigné comme critique.
🔎 Vous avez une question plus générale sur la conformité RGPD ou la cybersécurité ? Consultez notre FAQ générale.
En résumé
DORA est le règlement européen qui encadre la résilience numérique du secteur financier depuis janvier 2025. Il concerne les banques, assurances, sociétés de gestion et leurs prestataires TIC critiques, autour de cinq piliers : gestion des risques TIC, notification d’incidents, tests de résilience, gestion des tiers et partage d’informations sur les cybermenaces. Les organisations hors secteur financier ne sont pas directement concernées, mais DORA s’articule souvent avec le RGPD et NIS2 pour les acteurs qui y sont soumis.
Sources
- Règlement (UE) 2022/2554 (DORA) — EUR-Lex
- Digital Operational Resilience Act (DORA) — ACPR
- Le règlement sur la résilience opérationnelle numérique dans le secteur financier — AMF
- MDP Data Protection – Digital Omnibus : comprendre le nouveau tournant de la régulation numérique européenne
Pour aller plus loin
- CNIL - Nouvelle édition : Guide 2024 de la sécurité des données personnelles
- MDP Data Protection - Logiciel RGPD : comment choisir la solution idéale pour votre entreprise
Les solutions MDP Data Protection
MDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformité multi-réglementaire (RGPD, NIS2 et IA Act...), avec une approche opérationnelle et évolutive.
- SimplyRGPD : Pilotage de votre conformité au quotidien.
- MDP CAMPUS : Notre parcours de sensibilisation en vidéos pédagogiques de 3 à 7 minutes.
- MDP Diagnostic : Diagnostic instantané de votre niveau de conformité.
Notre Méthode : le Continuous Compliance Operating System - CCOS
Et si votre conformité vivait en continu, au lieu d'être un livrable de plus ?
À propos de l’auteur
Christophe SAINT-PIERRE – Fort de plus de 20 ans d’expérience, Christophe accompagne les organisations dans leur mise en conformité réglementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision stratégique et approche opérationnelle. Au sein de MDP Data Protection, il pilote une démarche axée sur l’excellence, l’innovation et la valorisation réglementaire. Son objectif : transformer les contraintes légales en opportunités business pour ses clients.



