En vigueur depuis le 17 janvier 2025

Logiciel de conformité DORA pour les services financiers

Le règlement sur la résilience opérationnelle numérique est en vigueur. Banques, fintechs, établissements de paiement et prestataires crypto doivent démontrer leur résilience TIC — sous peine d'amendes jusqu'à 10 M€. ComplyOne cartographie vos obligations et suit votre conformité.

Vérifier votre conformité DORA — gratuit

Les 5 piliers de DORA

DORA structure ses exigences en cinq domaines interconnectés. Vous devez démontrer votre conformité dans chacun d'eux.

01

Gestion des risques TIC

Un cadre documenté pour identifier, classer et atténuer les risques TIC sur l'ensemble de votre pile technologique.

02

Notification des incidents

Les incidents TIC majeurs doivent être signalés à votre régulateur dans des délais stricts. Rapport initial : 4 heures. Intermédiaire : 72 heures. Final : 1 mois.

03

Tests de résilience numérique

Tests de base annuels pour toutes les entités. Tests de pénétration pilotés par la menace (TLPT) tous les 3 ans pour les institutions significatives.

04

Risque TIC tiers

Enregistrer tous les fournisseurs TIC, classer les critiques, mener la due diligence et maintenir des stratégies de sortie. Fournisseurs cloud inclus.

05

Partage d'informations

Participation aux dispositifs de partage de renseignements sur les menaces cyber — volontaire mais fortement encouragé par les régulateurs.

Comment ComplyOne aide

Nous transformons ces 5 piliers en une liste de tâches structurée avec suivi de l'avancement, modèles et un coffre de preuves prêt pour l'audit.

DORA s'applique-t-il à vous ?

DORA s'applique si vous êtes une entité financière régulée dans l'UE, notamment :

  • Banques et établissements de crédit
  • Établissements de paiement et de monnaie électronique
  • Entreprises d'investissement et gestionnaires de fonds
  • Compagnies d'assurance et de réassurance
  • Prestataires de services sur crypto-actifs (CASP sous MiCA)
  • Plateformes de financement participatif
  • Agences de notation de crédit
  • Prestataires TIC tiers désignés comme critiques

Les micro-entreprises (moins de 10 employés, moins de 2 M€ de chiffre d'affaires) ont des exigences allégées — mais ne sont pas totalement exemptes.

Sanctions

10 M€

ou 5 % du chiffre d'affaires annuel mondial

Pour les entités financières régulées. Plus des mesures de supervision possibles.

100 000 €/jour

amendes récurrentes

Pour les prestataires TIC tiers critiques qui ne corrigent pas les violations.

Comment aborder la conformité DORA : premières étapes

DORA peut sembler complexe. La plupart des entités financières atteignent une base solide en 10 à 14 semaines avec une approche structurée.

1

Confirmer que vous êtes concerné

DORA s'applique à toutes les entités financières régulées dans l'UE — banques, établissements de paiement, entreprises d'investissement, prestataires crypto, assureurs et plus. Les micro-entreprises (moins de 10 employés, moins de 2 M€ de chiffre d'affaires) ont des obligations simplifiées mais ne sont pas exemptes.

2

Construire votre cadre de risque TIC

Documentez votre gouvernance TIC : qui porte le risque technologique, comment le risque est évalué et quels contrôles sont en place. DORA exige un cadre formel de gestion des risques TIC approuvé par l'organe de direction.

3

Créer votre registre des actifs TIC et fournisseurs tiers

Listez chaque système, application et prestataire cloud/SaaS qui soutient vos fonctions critiques ou importantes. Pour chacun, documentez le risque, les termes contractuels et — pour les prestataires critiques — votre stratégie de sortie.

4

Mettre en place la classification et la notification des incidents

Établissez quels événements qualifient comme incidents TIC majeurs selon les critères de classification de DORA, et construisez le processus interne pour la notification initiale 4 heures, le rapport intermédiaire 72 heures et le rapport final 1 mois.

5

Planifier vos tests de résilience numérique

Toutes les entités doivent effectuer des tests de base annuels (évaluations de vulnérabilités, tests basés sur des scénarios). Les institutions significatives doivent effectuer des tests de pénétration pilotés par la menace (TLPT) tous les trois ans avec des testeurs accrédités.

Identifiez votre écart DORA en 5 minutes

Test de conformité gratuit. Sans carte bancaire. Visualisez votre posture de risque TIC avant que votre régulateur ne le fasse.

Démarrer le test DORA gratuit

FAQ DORA

À qui s'applique DORA ?

DORA s'applique à une large gamme d'entités financières régulées dans l'UE : banques, compagnies d'assurance, entreprises d'investissement, établissements de paiement, établissements de monnaie électronique, prestataires de services sur crypto-actifs (CASP), plateformes de financement participatif et plus. Il s'applique également directement aux prestataires TIC tiers critiques pour ces entités.

Quand DORA est-il entré en vigueur ?

DORA est pleinement applicable depuis le 17 janvier 2025. Aucune période de grâce — les entités financières devaient être conformes à cette date. Les autorités de supervision évaluent désormais activement la conformité.

Quelles sont les sanctions en cas de non-conformité DORA ?

Les entités financières peuvent encourir des amendes jusqu'à 10 millions d'euros ou 5 % du chiffre d'affaires mondial annuel total, selon le plus élevé. Les prestataires TIC tiers critiques jusqu'à 5 millions d'euros ou 1 % du chiffre d'affaires quotidien moyen mondial — et des amendes récurrentes jusqu'à 100 000 € par jour.

Quelle est la différence entre DORA et NIS2 ?

NIS2 est une directive générale de cybersécurité couvrant de nombreux secteurs. DORA est spécifique au secteur des services financiers et va beaucoup plus loin sur la résilience opérationnelle TIC — y compris les exigences de tests (TLPT), la classification détaillée des incidents et la supervision des prestataires TIC tiers critiques.

Nous utilisons plusieurs fournisseurs cloud et outils SaaS. Que demande DORA ?

DORA exige de maintenir un registre de toutes les dépendances TIC tierces, de réaliser des évaluations de risques des prestataires critiques, d'assurer l'existence de stratégies de sortie et — pour les prestataires critiques — de participer au cadre de supervision direct de l'UE. ComplyOne structure tout cela dans un registre auditable.

Que demande DORA pour les contrats avec les prestataires TIC tiers ?

DORA impose des dispositions contractuelles spécifiques avec les prestataires TIC tiers — droits d'audit, niveaux de service convenus, obligations de notification d'incidents, droits de résiliation et contrôles de sous-traitance. Pour les fonctions critiques ou importantes, les contrats doivent également inclure des dispositions sur la continuité d'activité et des stratégies de sortie. Les contrats signés avant janvier 2025 doivent être révisés lors du renouvellement.

Comment la notification d'incident DORA interagit-elle avec le RGPD ?

Les délais courent en parallèle : DORA exige la notification initiale d'un incident TIC majeur à votre régulateur financier dans les 4 heures. Le RGPD exige la notification d'une violation de données personnelles à votre autorité de protection des données dans les 72 heures. Si un incident implique à la fois une perturbation TIC et une exposition de données personnelles, les deux délais s'appliquent simultanément — souvent avec des rapports différents à des régulateurs différents à des échéances différentes. ComplyOne suit les deux dans un seul flux de travail d'incident.

Domaines de conformité connexes

Conformité UE pour la Fintech Conformité NIS2 Conformité RGPD Conformité AML & KYC