Digital Operational Resilience Act

Conformite DORA pour les services financiers

Le reglement UE 2022/2554 est en vigueur depuis le 17 janvier 2025, exigeant des entites financieres de renforcer leur resilience operationnelle numerique. Nous vous aidons a mettre en oeuvre les cinq piliers avec des processus clairs, des preuves et un reporting de supervision.

Commencer l'evaluation DORAPlanifier une consultation conformite

Qu'est-ce que DORA ?

Le Digital Operational Resilience Act (DORA) est le reglement UE 2022/2554 qui etablit des exigences uniformes pour la securite des reseaux et systemes d'information soutenant les processus metier des entites financieres operant dans l'Union europeenne.

Pourquoi c'est important maintenant : DORA est en vigueur depuis le 17 janvier 2025. Toutes les institutions financieres de l'UE doivent disposer d'une gestion complete des risques TIC, d'un signalement des incidents, de tests de resilience et d'une surveillance des tiers. La non-conformite expose les entites a des sanctions de surveillance et a des risques operationnels.

En vigueur maintenant

En vigueur depuis le 17 janvier 2025

Obligatoire

Exigence legale pour toutes les entites financieres

Complete le Reglement europeen sur l'IA pour les systemes d'IA et ISO 42001 pour la gestion de l'IA.

Qui a besoin de la conformite DORA ?

Etablissements de credit (banques)

Toutes les banques operant dans l'UE, quelle que soit leur taille

Etablissements de paiement

Prestataires de services de paiement, y compris les PSP et les etablissements de monnaie electronique

Entreprises d'investissement

Entreprises d'investissement, plates-formes de negociation et depositaires centraux de titres

Entreprises d'assurance et de reassurance

Compagnies d'assurance, intermediaires et services auxiliaires

Prestataires de services sur crypto-actifs

Entites fournissant des services sur crypto-actifs dans le cadre de la reglementation MiCA

Prestataires de services TIC tiers

Prestataires TIC critiques au service des entites financieres (designes par les AES)

Comment VerifyWise soutient la conformite DORA

Des capacites completes couvrant les cinq piliers et les exigences de supervision

Cadre de gestion des risques TIC

Etablissez des cadres complets de gestion des risques TIC avec des politiques, procedures et controles structures. La plateforme maintient la documentation de gouvernance, les registres de risques et les capacites de surveillance conformes aux exigences de l'article 6 de DORA.

Couvre : Gestion des risques TIC : cadres, politiques, procedures, identification des risques

Detection et signalement des incidents

Classifiez les incidents lies aux TIC, gerez le signalement des incidents majeurs aux autorites et suivez les flux de resolution. La plateforme automatise la logique de classification et maintient la piste d'audit requise pour le reporting reglementaire.

Couvre : Signalement d'incidents : detection, classification, notification aux autorites, suivi de resolution

Tests de resilience operationnelle numerique

Planifiez et executez des programmes de tests de resilience incluant des evaluations de vulnerabilites, des tests de scenarios et des tests de penetration axes sur les menaces (TLPT). La plateforme planifie les tests, suit les resultats et gere la remediation.

Couvre : Tests de resilience : planification des tests, coordination TLPT, suivi de remediation

Gestion des prestataires de services TIC tiers

Maintenez un registre des prestataires TIC tiers critiques, effectuez des evaluations de diligence raisonnable et surveillez les obligations contractuelles. La plateforme suit le risque de concentration et soutient la documentation des strategies de sortie.

Couvre : Risques tiers : registre des prestataires, diligence raisonnable, gestion des contrats, planification de sortie

Surveillance continue et indicateurs

Suivez les indicateurs de resilience operationnelle, surveillez la performance des systemes TIC et generez des rapports de supervision. La plateforme consolide les indicateurs de resilience pour une surveillance continue et une analyse des tendances.

Couvre : Surveillance : KPI, tableaux de bord de performance, reporting de supervision

Dispositifs de partage d'informations

Participez aux dispositifs de partage d'informations sur les cybermenaces et les vulnerabilites. La plateforme gere la participation aux cadres designes et suit les renseignements recus et partages.

Couvre : Partage d'informations : renseignements sur les menaces, divulgation des vulnerabilites, collaboration sectorielle

Toutes les activites de conformite DORA sont horodatees, assignees a des responsables et suivies par des flux d'approbation. Cela cree la piste d'audit que les autorites de surveillance attendent lors des inspections et du reporting.

Couverture complete des exigences DORA

VerifyWise fournit des capacites dediees pour toutes les exigences reglementaires des cinq piliers

26

Exigences cles DORA

26

Exigences avec outillage dedie

100%

Couverture sur tous les piliers

Gestion des risques TIC8/8

Cadres, politiques, procedures, surveillance

Signalement d'incidents6/6

Detection, classification, signalement, resolution

Tests de resilience5/5

Programmes de tests, tests axes sur les menaces, evaluations des vulnerabilites

Risques tiers7/7

Diligence raisonnable, contrats, surveillance, strategies de sortie

Concu pour la conformite DORA des le depart

Classification des incidents

Detection automatisee des incidents majeurs et flux de signalement aux autorites

Coordination TLPT

Gestion des programmes de tests de penetration axes sur les menaces et remediation

Registre des tiers

Suivi des prestataires TIC critiques avec analyse du risque de concentration

Reporting de supervision

Generation de rapports pour l'ABE, l'AEAPP, l'AEMF et les autorites nationales

Les cinq piliers de DORA

DORA organise la resilience operationnelle numerique en cinq piliers interconnectes

Gestion des risques TIC

Etablir et maintenir des cadres complets de gestion des risques TIC alignes sur la strategie commerciale.

Cadre de gestion des risques TIC
Politique de continuite d'activite
Capacites de reprise apres sinistre
Analyse d'impact sur l'activite
Inventaire et cartographie des systemes TIC
Mesures de protection et de prevention
Mecanismes de detection
Procedures de reponse et de reprise

Gestion des incidents lies aux TIC

Detecter, gerer, classifier et signaler les incidents lies aux TIC pour garantir une resolution rapide et la conformite reglementaire.

Detection et gestion des incidents
Classification et categorisation des incidents
Signalement des incidents majeurs aux autorites
Procedures de reponse aux incidents
Analyse des causes profondes
Integration des lecons apprises

Tests de resilience operationnelle numerique

Tester les systemes et processus TIC pour identifier les vulnerabilites et assurer la resilience operationnelle.

Developpement de programmes de tests
Evaluations des vulnerabilites
Tests bases sur des scenarios
Tests de penetration axes sur les menaces (TLPT)
Determination de la frequence et de la portee des tests
Suivi et validation de la remediation

Gestion des risques TIC tiers

Gerer les risques lies aux prestataires de services TIC tiers par une surveillance complete.

Registre des prestataires TIC tiers
Diligence raisonnable basee sur les risques
Arrangements contractuels et SLA
Evaluation du risque de concentration
Surveillance continue des prestataires
Strategies de sortie et plans de transition
Classification des prestataires critiques vs importants

Partage d'informations

Echanger des informations sur les cybermenaces et les vulnerabilites dans le cadre de dispositifs designes.

Participation aux dispositifs de partage d'informations
Echange de renseignements sur les cybermenaces
Procedures de divulgation des vulnerabilites
Protections de la confidentialite
Mecanismes de collaboration sectorielle

Feuille de route de conformite en 36 semaines

Un parcours pratique pour atteindre et maintenir la conformite DORA avec des jalons et des livrables clairs

Phase 1Semaines 1-6

Evaluation

  • Analyse des ecarts par rapport aux exigences DORA
  • Inventaire des actifs TIC et des prestataires de services
  • Evaluation de la maturite actuelle de la gestion des risques
  • Identification des dependances critiques aux TIC tiers
Phase 2Semaines 7-14

Developpement du cadre

  • Developper le cadre de gestion des risques TIC
  • Etablir les procedures de classification des incidents
  • Creer la strategie du programme de tests
  • Concevoir les processus de surveillance des tiers
Phase 3Semaines 15-28

Mise en oeuvre

  • Deployer les outils de surveillance et de detection
  • Mettre en oeuvre les flux de signalement des incidents
  • Executer les premiers tests de resilience
  • Integrer les prestataires tiers critiques
Phase 4Semaines 29-36

Validation

  • Realiser les TLPT pour les entites eligibles
  • Valider les capacites de reponse aux incidents
  • Tester la continuite d'activite et la reprise apres sinistre
  • Preparer les processus de reporting de supervision

Sanctions et application

Comprendre les consequences de la non-conformite aux exigences DORA

Sanctions administratives

Les autorites competentes peuvent imposer des amendes determinees par les Etats membres

Exemples

  • Declarations publiques identifiant la personne et la nature de l'infraction
  • Ordre de cesser la conduite et de s'abstenir de toute repetition
  • Retrait ou suspension de l'autorisation

Sanctions financieres

Les Etats membres determinent les amendes maximales qui doivent etre effectives, proportionnees et dissuasives

Exemples

  • Sanctions pour non-conformite aux exigences de surveillance
  • Amendes pour defaut de signalement des incidents majeurs
  • Sanctions pour gestion inadequate des risques tiers

Mesures de surveillance

Les AES (ABE, AEAPP, AEMF) peuvent exercer une surveillance directe sur les prestataires TIC tiers critiques

Exemples

  • Inspections sur site
  • Enquetes generales
  • Demandes d'informations
  • Recommandations de remediation

Autorites d'application : Autorite bancaire europeenne (ABE), Autorite europeenne des assurances et des pensions professionnelles (AEAPP), Autorite europeenne des marches financiers (AEMF) et autorites nationales competentes dans chaque Etat membre.

Les sanctions doivent etre effectives, proportionnees et dissuasives. Les montants specifiques sont determines par les Etats membres.

Comment DORA se compare aux autres cadres

Comprendre la relation entre DORA et les autres exigences de conformite

AspectDORAReglement europeen sur l'IAISO 27001
Champ d'application
Services financiers de l'UE et prestataires TIC critiquesSystemes d'IA mis sur le marche de l'UEToute organisation (securite de l'information)
Statut juridique
Reglement obligatoire de l'UEReglement obligatoire de l'UENorme de certification volontaire
Focus
Resilience operationnelle numerique pour la financeSecurite des systemes d'IA et droits fondamentauxGestion de la securite de l'information
Date d'effet
En vigueur depuis le 17 janvier 2025Progressive : aout 2025-2027Volontaire (continue)
Exigences cles
5 piliers de resilience numeriqueNiveaux de risque avec obligations par roleSMSI avec 93 controles
Application
ABE, AEAPP, AEMF + autorites nationalesAutorites nationales + Bureau europeen de l'IAOrganismes de certification tiers
Sanctions
Effectives, proportionnees, dissuasives (definies par les Etats membres)Jusqu'a 35 M EUR ou 7 % du chiffre d'affaires mondialAucune (norme volontaire)
Documentation
Registres de risques TIC, journaux d'incidents, rapports de tests, contrats tiersDocumentation technique, declarations de conformite, evaluations des risquesPolitiques SMSI, procedures, plans de traitement des risques
Ideal pour
Resilience numerique des services financiersConformite des systemes d'IA dans l'UECertification generale en securite de l'information

Astuce : Les institutions financieres utilisant des systemes d'IA font face aux exigences de DORA et duReglement europeen sur l'IA. DORA traite de la resilience operationnelle des systemes TIC tandis que le Reglement sur l'IA traite des risques specifiques a l'IA. Mettez en oeuvre les deux avec ISO 42001 pour une gouvernance complete.

Discuter de la conformite multi-cadres
Modeles de politiques

Repertoire de politiques de gouvernance TIC

Accedez a des modeles de politiques de gestion des risques TIC prets a l'emploi, alignes sur DORA, le Reglement europeen sur l'IA et les exigences ISO 42001

Gestion des risques TIC

  • • Cadre de gestion des risques TIC
  • • Politique de continuite d'activite
  • • Procedures de reprise apres sinistre
  • • Gestion des actifs TIC
  • • Politique de gestion des changements
  • • Politique de controle d'acces
  • + 5 autres politiques

Incidents et tests

  • • Politique de reponse aux incidents
  • • Classification des incidents majeurs
  • • Procedures de signalement aux autorites
  • • Programme de tests de resilience
  • • Cadre TLPT
  • • Gestion des vulnerabilites
  • + 4 autres politiques

Tiers et partage

  • • Politique de risques tiers
  • • Diligence raisonnable des prestataires TIC
  • • Normes de gestion des contrats
  • • Cadre de strategie de sortie
  • • Evaluation du risque de concentration
  • • Politique de partage d'informations
  • + 3 autres politiques
Parcourir tous les modeles de politiques

Questions frequemment posees

Questions courantes sur la conformite et la mise en oeuvre de DORA

DORA (Digital Operational Resilience Act) est le reglement UE 2022/2554 entre en vigueur le 17 janvier 2025. Il etablit des exigences uniformes pour la gestion des risques TIC, le signalement des incidents, les tests de resilience, la gestion des risques tiers et le partage d'informations dans les services financiers de l'UE. Consultez le texte complet du reglement sur EUR-Lex.
DORA est applique par les autorites europeennes de surveillance (AES) : l'Autorite bancaire europeenne (ABE), l'Autorite europeenne des assurances et des pensions professionnelles (AEAPP) et l'Autorite europeenne des marches financiers (AEMF), en collaboration avec les autorites nationales competentes de chaque Etat membre.
Les Etats membres determinent les sanctions specifiques, mais elles doivent etre effectives, proportionnees et dissuasives. Les autorites peuvent imposer des amendes, retirer des autorisations, emettre des avertissements publics et exiger la cessation des comportements non conformes. Les prestataires TIC tiers critiques font l'objet d'une surveillance directe des AES avec des pouvoirs d'inspection et des sanctions potentielles.
DORA definit les incidents majeurs comme ceux ayant un impact negatif eleve sur les reseaux et systemes d'information soutenant des fonctions critiques. Les entites doivent notifier les autorites competentes des incidents majeurs et fournir des rapports initiaux, intermediaires et finaux. La classification depend de l'impact sur les services, les clients, la stabilite financiere et la reputation, avec des seuils specifiques definis dans les normes techniques reglementaires.
Le TLPT est un test avance simulant des attaques reelles en reproduisant les tactiques, techniques et procedures d'acteurs de menaces reels. DORA exige que certaines entites financieres (en fonction de leur taille, criticite et profil de risque) se soumettent au TLPT au moins tous les trois ans. Les tests doivent suivre le cadre TIBER-EU ou des cadres nationaux equivalents.
DORA distingue les prestataires TIC tiers 'critiques' et 'importants' en fonction de l'importance des services pour les operations commerciales. Les AES designeront les prestataires 'critiques' qui seront ensuite soumis a une surveillance directe. Les entites financieres doivent maintenir un registre de tous les prestataires TIC et mettre en oeuvre une diligence raisonnable renforcee pour les dependances critiques.
Les entites financieres doivent s'assurer que les contrats avec les prestataires TIC tiers incluent : descriptions completes des services, exigences de niveau de service, droits d'acces et d'audit, delais de preavis, droits de resiliation, strategies de sortie, dispositions de sous-traitance, conditions de localisation et de traitement des donnees, exigences de continuite d'activite et arrangements de responsabilite. Des modeles de contrats standards sont en cours d'elaboration.
DORA complete NIS2 (Directive sur la securite des reseaux et de l'information) et le RGPD. Pour les entites financieres, DORA est lex specialis (loi specialisee) ayant la priorite pour la resilience operationnelle numerique. Les entites doivent toujours se conformer au RGPD pour les donnees personnelles et peuvent avoir des obligations NIS2 si elles exploitent des services essentiels. De nombreux controles se chevauchent et peuvent etre mis en oeuvre conjointement.
L'article 6 exige que les entites financieres disposent d'un cadre complet de gestion des risques TIC couvrant les capacites de protection, detection, confinement, reprise et reparation. Cela comprend l'identification des risques, la planification de la continuite d'activite, les politiques de sauvegarde, la reprise apres sinistre, la gestion de crise et la revision annuelle de la strategie par l'organe de direction.
La plupart des institutions financieres necessitent 6 a 9 mois pour une mise en oeuvre complete de DORA, selon la maturite existante. DORA etant en vigueur depuis janvier 2025, les organisations doivent prioriser la correction des ecarts, le renforcement du cadre et les tests de validation. Les organisations partant d'une maturite inferieure ou avec des ecosystemes tiers complexes peuvent avoir besoin de 12 mois ou plus pour une conformite complete.
DORA s'applique aux entites financieres etablies dans l'UE. Les entites non-UE ayant des succursales ou filiales dans l'UE doivent s'assurer que ces entites sont conformes. Les entreprises de pays tiers fournissant des services dans l'UE doivent surveiller la mise en oeuvre nationale car les Etats membres peuvent etendre certaines exigences aux prestataires de services transfrontaliers.
Les entites financieres utilisant des systemes d'IA font face aux exigences de DORA et du Reglement europeen sur l'IA. DORA traite de la resilience operationnelle des systemes TIC (y compris les systemes alimentes par l'IA), tandis que le Reglement sur l'IA traite des risques specifiques a l'IA et des droits fondamentaux. De nombreux controles se complementent, notamment en matiere de gestion des risques, de tests et de surveillance des tiers.
Oui, VerifyWise fournit des capacites dediees de conformite DORA incluant des registres de risques TIC, des flux de gestion des incidents, le suivi des prestataires tiers, la gestion des programmes de tests et le reporting de supervision. Notre plateforme prend egalement en charge ISO 42001 et le Reglement europeen sur l'IA pour les organisations mettant en oeuvre plusieurs cadres.

Pret a atteindre la conformite DORA ?

Commencez votre parcours de resilience operationnelle numerique avec notre evaluation guidee et nos outils de mise en oeuvre.

Commencer l'evaluation DORAPlanifier une consultation
DORA compliance for financial institutions: ICT risk and audit guide