[{"@context":"https:\/\/schema.org\/","@type":"BlogPosting","@id":"https:\/\/mdp-data.com\/dora-reglement-resilience-numerique-secteur-financier\/#BlogPosting","mainEntityOfPage":"https:\/\/mdp-data.com\/dora-reglement-resilience-numerique-secteur-financier\/","headline":"DORA : le r\u00e8glement europ\u00e9en sur la r\u00e9silience num\u00e9rique du secteur financier","name":"DORA : le r\u00e8glement europ\u00e9en sur la r\u00e9silience num\u00e9rique du secteur financier","description":"DORA (Digital Operational Resilience Act) est le r\u00e8glement europ\u00e9en qui encadre depuis janvier 2025 la r\u00e9silience num\u00e9rique des entit\u00e9s financi\u00e8res et de leurs prestataires TIC. Voici qui est concern\u00e9, ce que le texte impose concr\u00e8tement, et comment il s'articule avec le RGPD et NIS2.","datePublished":"2026-07-08","dateModified":"2026-07-08","author":{"@type":"Person","@id":"https:\/\/mdp-data.com\/author\/mdpdata\/#Person","name":"Christophe SAINT-PIERRE","url":"https:\/\/mdp-data.com\/author\/mdpdata\/","identifier":5,"image":{"@type":"ImageObject","@id":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","url":"https:\/\/secure.gravatar.com\/avatar\/dda2b7fb6ebd7d829cda1b55f29137a792e548278c72cf22d119baca5d18707f?s=96&d=mm&r=g","height":96,"width":96}},"publisher":{"@type":"Organization","name":"MDP DATA PROTECTION","logo":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2025\/12\/2025-MDP-Logo.webp","width":600,"height":60}},"image":{"@type":"ImageObject","@id":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/07\/dora_reglement_resilience_numerique_secteur_financier.jpg","url":"https:\/\/mdp-data.com\/wp-content\/uploads\/2026\/07\/dora_reglement_resilience_numerique_secteur_financier.jpg","height":1080,"width":1920},"url":"https:\/\/mdp-data.com\/dora-reglement-resilience-numerique-secteur-financier\/","about":["Conformit\u00e9 r\u00e9glementaire"],"wordCount":1660,"keywords":["Cybers\u00e9curit\u00e9 entreprises","DORA","NIS2","R\u00e9silience op\u00e9rationnelle num\u00e9rique","RGPD","Secteur financier"],"articleBody":"DORA (Digital Operational Resilience Act) est le r\u00e8glement europ\u00e9en qui encadre la r\u00e9silience num\u00e9rique du secteur financier. Entr\u00e9 en application le 17 janvier 2025, il impose aux banques, assurances, soci\u00e9t\u00e9s de gestion et \u00e0 leurs prestataires informatiques critiques un cadre unifi\u00e9 de gestion des risques li\u00e9s aux technologies de l&rsquo;information et de la communication (TIC). Contrairement au RGPD ou \u00e0 NIS2, ce texte ne s&rsquo;applique pas \u00e0 toutes les organisations : voici son p\u00e9rim\u00e8tre exact et ce qu&rsquo;il impose.SommaireToggleQu&rsquo;est-ce que DORA et pourquoi ce r\u00e8glement a \u00e9t\u00e9 cr\u00e9\u00e9 ?Qui est concern\u00e9 par DORA, et qui ne l&rsquo;est pasLes 5 piliers du r\u00e8glement DORADORA, RGPD et NIS2 : comment ces textes s&rsquo;articulentFAQ &#8211; DORAEn r\u00e9sum\u00e9SourcesPour aller plus loinLes solutions MDP Data ProtectionNotre M\u00e9thode : le Continuous Compliance Operating System &#8211; CCOS\u00c0 propos de l&rsquo;auteurQu&rsquo;est-ce que DORA et pourquoi ce r\u00e8glement a \u00e9t\u00e9 cr\u00e9\u00e9 ?DORA est le r\u00e8glement (UE) 2022\/2554 du 14 d\u00e9cembre 2022, entr\u00e9 en vigueur le 16 janvier 2023 avec une p\u00e9riode de mise en conformit\u00e9 de 24 mois, pour une application effective depuis le 17 janvier 2025.Avant DORA, la gestion des risques informatiques dans le secteur financier europ\u00e9en \u00e9tait dispers\u00e9e dans plusieurs l\u00e9gislations sectorielles : la directive CRD pour les banques, Solvabilit\u00e9 II pour les assurances, MiFID II pour les march\u00e9s. Ces r\u00e8gles variaient d&rsquo;un \u00c9tat membre \u00e0 l&rsquo;autre, cr\u00e9ant des complexit\u00e9s pour les acteurs transfrontaliers et des niveaux de protection in\u00e9gaux. Parall\u00e8lement, la d\u00e9pendance croissante du secteur financier aux prestataires technologiques externes (cloud, data centers) l&rsquo;exposait \u00e0 des risques syst\u00e9miques nouveaux, difficiles \u00e0 encadrer avec des textes sectoriels cloisonn\u00e9s.DORA r\u00e9pond \u00e0 ce constat avec un objectif clair : garantir que les acteurs financiers europ\u00e9ens soient capables de r\u00e9sister \u00e0 un incident cyber ou \u00e0 une d\u00e9faillance technologique majeure, et de continuer \u00e0 fournir leurs services critiques m\u00eame en situation d\u00e9grad\u00e9e. En tant que r\u00e8glement (et non directive), il s&rsquo;applique directement dans tous les \u00c9tats membres sans transposition nationale.Qui est concern\u00e9 par DORA, et qui ne l&rsquo;est pasLe p\u00e9rim\u00e8tre de DORA est large au sein du secteur financier, mais il reste circonscrit \u00e0 ce secteur. Sont notamment concern\u00e9s :Les \u00e9tablissements de cr\u00e9dit (banques)Les entreprises d&rsquo;investissement et plateformes de n\u00e9gociationLes soci\u00e9t\u00e9s de gestion et fonds d&rsquo;investissementLes compagnies d&rsquo;assurance et de r\u00e9assuranceLes prestataires de services de paiement et les fintechsLes prestataires tiers de services TIC d\u00e9sign\u00e9s comme critiques par les autorit\u00e9s europ\u00e9ennes de supervision (ESMA, EBA, EIOPA) \u2014 notamment certains grands fournisseurs cloudLe r\u00e8glement pr\u00e9voit un principe de proportionnalit\u00e9 : les micro-entreprises et certaines entit\u00e9s financi\u00e8res de petite taille b\u00e9n\u00e9ficient d&rsquo;un cadre simplifi\u00e9 de gestion des risques TIC.Ce que DORA ne couvre pas : les organisations hors secteur financier (associations, structures m\u00e9dico-sociales, organismes de formation, congr\u00e9gations religieuses, entreprises non financi\u00e8res) ne sont pas soumises \u00e0 DORA. Elles restent r\u00e9gies par le RGPD et, le cas \u00e9ch\u00e9ant, par NIS2 pour leurs obligations de cybers\u00e9curit\u00e9 \u2014 deux textes aux logiques diff\u00e9rentes mais parfois compl\u00e9mentaires avec DORA lorsqu&rsquo;une organisation traite avec des acteurs financiers.Les 5 piliers du r\u00e8glement DORADORA structure ses obligations autour de cinq axes principaux :Gestion des risques li\u00e9s aux TIC : identifier, cartographier et surveiller en continu les fonctions et actifs critiques, r\u00e9aliser des \u00e9valuations p\u00e9riodiques des risques, \u00e9tablir et tester r\u00e9guli\u00e8rement des plans de continuit\u00e9 d&rsquo;activit\u00e9 et de reprise apr\u00e8s incident.Gestion et notification des incidents majeurs : d\u00e9tecter, documenter et classifier la gravit\u00e9 des incidents li\u00e9s aux TIC selon les crit\u00e8res du r\u00e8glement, et les signaler aux autorit\u00e9s comp\u00e9tentes (en France : ACPR ou AMF selon le secteur) dans des d\u00e9lais stricts.Tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique : programme de tests r\u00e9guliers, incluant des tests d&rsquo;intrusion avanc\u00e9s bas\u00e9s sur les menaces (TLPT \u2014 Threat-Led Penetration Testing) pour les entit\u00e9s les plus significatives.Gestion des risques li\u00e9s aux prestataires tiers : encadrement contractuel renforc\u00e9 des relations avec les fournisseurs TIC, et supervision europ\u00e9enne directe des prestataires d\u00e9sign\u00e9s comme critiques.Partage d&rsquo;informations sur les cybermenaces : dispositifs volontaires de partage entre entit\u00e9s financi\u00e8res, en coordination avec des points de r\u00e9f\u00e9rence comme le CERT-FR, dans le respect du RGPD et du secret professionnel bancaire.DORA, RGPD et NIS2 : comment ces textes s&rsquo;articulentPour une organisation du secteur financier, ces trois textes ne se substituent pas les uns aux autres : ils r\u00e9pondent \u00e0 des logiques diff\u00e9rentes qui se superposent souvent sur les m\u00eames syst\u00e8mes et les m\u00eames \u00e9quipes.Le RGPD encadre le traitement des donn\u00e9es personnelles, quel que soit le secteur.NIS2 vise la cybers\u00e9curit\u00e9 et la continuit\u00e9 des services essentiels et importants, dans un p\u00e9rim\u00e8tre sectoriel plus large que la finance.DORA est sp\u00e9cifique au secteur financier et se concentre sur la r\u00e9silience op\u00e9rationnelle face aux risques TIC, avec des exigences plus pouss\u00e9es que NIS2 sur ce p\u00e9rim\u00e8tre pr\u00e9cis (tests TLPT, supervision directe des prestataires critiques).Dans la pratique, une entit\u00e9 financi\u00e8re soumise \u00e0 DORA doit aussi rester attentive \u00e0 ses obligations RGPD (notamment lors du partage d&rsquo;informations sur les cybermenaces, qui peut impliquer des donn\u00e9es personnelles) et v\u00e9rifier si elle entre \u00e9galement dans le p\u00e9rim\u00e8tre de NIS2 pour certaines de ses activit\u00e9s. C&rsquo;est cette superposition de r\u00e9f\u00e9rentiels qui pousse de plus en plus d&rsquo;organisations \u00e0 structurer leur conformit\u00e9 de fa\u00e7on transverse plut\u00f4t que texte par texte \u2014 une logique que le Digital Omnibus cherche justement \u00e0 mieux articuler au niveau europ\u00e9en.FAQ &#8211; DORADepuis quand DORA s&rsquo;applique-t-il ?Le r\u00e8glement est entr\u00e9 en vigueur le 16 janvier 2023, avec une p\u00e9riode de mise en conformit\u00e9 de 24 mois. Il est pleinement applicable dans tous les \u00c9tats membres depuis le 17 janvier 2025.Mon organisation est-elle concern\u00e9e par DORA si elle n&rsquo;est pas dans le secteur financier ?Non, sauf si vous \u00eates un prestataire tiers de services TIC d\u00e9sign\u00e9 comme critique par les autorit\u00e9s europ\u00e9ennes de supervision pour des entit\u00e9s financi\u00e8res. Les organisations hors secteur financier restent soumises au RGPD et, le cas \u00e9ch\u00e9ant, \u00e0 NIS2, mais pas \u00e0 DORA.Quelle est la diff\u00e9rence entre DORA et NIS2 ?NIS2 s&rsquo;applique \u00e0 un large \u00e9ventail de secteurs essentiels et importants (\u00e9nergie, sant\u00e9, transport, num\u00e9rique&#8230;) avec des obligations g\u00e9n\u00e9rales de cybers\u00e9curit\u00e9. DORA est sp\u00e9cifique au secteur financier et impose des exigences plus pouss\u00e9es et plus techniques sur ce p\u00e9rim\u00e8tre, notamment les tests d&rsquo;intrusion TLPT et la supervision directe des prestataires TIC critiques.Qui supervise l&rsquo;application de DORA en France ?L&rsquo;ACPR (Autorit\u00e9 de contr\u00f4le prudentiel et de r\u00e9solution) supervise les banques et assurances. L&rsquo;AMF (Autorit\u00e9 des march\u00e9s financiers) supervise les soci\u00e9t\u00e9s de gestion et acteurs des march\u00e9s financiers. Les deux autorit\u00e9s coordonnent leurs contr\u00f4les avec les autorit\u00e9s europ\u00e9ennes de supervision (ESMA, EBA, EIOPA).Que risque une entit\u00e9 qui ne respecte pas DORA ?Les sanctions peuvent atteindre 2 % du chiffre d&rsquo;affaires annuel mondial pour une entit\u00e9 financi\u00e8re, et jusqu&rsquo;\u00e0 1 % du chiffre d&rsquo;affaires mondial quotidien moyen pour un prestataire tiers TIC d\u00e9sign\u00e9 comme critique.\ud83d\udd0e Vous avez une question plus g\u00e9n\u00e9rale sur la conformit\u00e9 RGPD ou la cybers\u00e9curit\u00e9 ? Consultez notre FAQ g\u00e9n\u00e9rale.En r\u00e9sum\u00e9DORA est le r\u00e8glement europ\u00e9en qui encadre la r\u00e9silience num\u00e9rique du secteur financier depuis janvier 2025. Il concerne les banques, assurances, soci\u00e9t\u00e9s de gestion et leurs prestataires TIC critiques, autour de cinq piliers : gestion des risques TIC, notification d&rsquo;incidents, tests de r\u00e9silience, gestion des tiers et partage d&rsquo;informations sur les cybermenaces. Les organisations hors secteur financier ne sont pas directement concern\u00e9es, mais DORA s&rsquo;articule souvent avec le RGPD et NIS2 pour les acteurs qui y sont soumis.SourcesR\u00e8glement (UE) 2022\/2554 (DORA) \u2014 EUR-LexDigital Operational Resilience Act (DORA) \u2014 ACPRLe r\u00e8glement sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique dans le secteur financier \u2014 AMFMDP Data Protection &#8211; Digital Omnibus : comprendre le nouveau tournant de la r\u00e9gulation num\u00e9rique europ\u00e9ennePour aller plus loinCNIL -  Nouvelle \u00e9dition : Guide 2024 de la s\u00e9curit\u00e9 des donn\u00e9es personnellesMDP Data Protection - Logiciel RGPD : comment choisir la solution id\u00e9ale pour votre entrepriseLes solutions MDP Data ProtectionMDP Data Protection et sa technologie IA accompagne les organisations dans la mise en conformit\u00e9 multi-r\u00e9glementaire (RGPD, NIS2 et IA Act...), avec une approche op\u00e9rationnelle et \u00e9volutive.SimplyRGPD : Pilotage de votre conformit\u00e9 au quotidien.MDP CAMPUS : Notre parcours de sensibilisation en vid\u00e9os p\u00e9dagogiques de 3 \u00e0 7 minutes.MDP Diagnostic : Diagnostic instantan\u00e9 de votre niveau de conformit\u00e9.Notre M\u00e9thode : le Continuous Compliance Operating System - CCOSEt si votre conformit\u00e9 vivait en continu, au lieu d'\u00eatre un livrable de plus ?D\u00e9couvrir la m\u00e9thode CCOS\u00c0 propos de l&rsquo;auteur Christophe SAINT-PIERRE&nbsp; \u2013 Fort de plus de 20 ans d\u2019exp\u00e9rience, Christophe accompagne les organisations dans leur mise en conformit\u00e9 r\u00e9glementaire (RGPD, NIS2, AI Act) en combinant expertise juridique, vision strat\u00e9gique et approche op\u00e9rationnelle. Au sein de MDP Data Protection, il pilote une d\u00e9marche ax\u00e9e sur l\u2019excellence, l\u2019innovation et la valorisation r\u00e9glementaire. Son objectif : transformer les contraintes l\u00e9gales en opportunit\u00e9s business pour ses clients."},{"@context":"https:\/\/schema.org\/","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"DORA : le r\u00e8glement europ\u00e9en sur la r\u00e9silience num\u00e9rique du secteur financier","item":"https:\/\/mdp-data.com\/dora-reglement-resilience-numerique-secteur-financier\/#breadcrumbitem"}]}]