Le règlement DORA (Digital Operational Resilience Act) est entré en vigueur le 17 janvier 2025 pour toutes les institutions financières européennes. Voici notre checklist de conformité opérationnelle.
Qui est concerné ?
- Banques (établissements de crédit)
- Compagnies d'assurance et de réassurance
- Gestionnaires d'actifs (UCITS, AIFM)
- Prestataires de services de paiement
- Bourses et chambres de compensation
- Prestataires de services crypto-actifs (CASP)
- Fournisseurs critiques de services TIC tiers
Les 5 piliers DORA
Pilier 1 — Gouvernance des risques TIC
- ☐ Cadre de gestion des risques TIC formalisé
- ☐ Implication de l'organe de direction
- ☐ Stratégie de résilience opérationnelle numérique
- ☐ Politique de classification des actifs et fonctions critiques
Pilier 2 — Gestion des incidents TIC
- ☐ Procédure de détection et classification des incidents
- ☐ Reporting aux autorités compétentes (ACPR, AMF)
- ☐ Délais de notification respectés (4h pour incident majeur)
- ☐ Communication aux clients en cas d'impact
Pilier 3 — Tests de résilience
- ☐ Programme de tests TIC documenté
- ☐ Tests d'intrusion avancés (TLPT) tous les 3 ans pour les acteurs significatifs
- ☐ Plans de continuité d'activité testés annuellement
- ☐ Plan de reprise après sinistre (DRP) opérationnel
Pilier 4 — Gestion des risques tiers TIC
- ☐ Registre des prestataires TIC tenu à jour
- ☐ Évaluation pré-contractuelle des fournisseurs
- ☐ Clauses contractuelles obligatoires (audit, sortie, sous-traitance)
- ☐ Stratégie de sortie pour les fournisseurs critiques
Pilier 5 — Partage d'information
- ☐ Participation aux mécanismes de partage de cyber-renseignement
- ☐ Coopération avec les CSIRT nationaux
Calendrier d'application
Échéances clés :
• 17 janvier 2025 : entrée en vigueur effective
• 17 janvier 2026 : 1er reporting annuel
• 17 janvier 2027 : 1er TLPT pour les acteurs significatifs
• 17 janvier 2025 : entrée en vigueur effective
• 17 janvier 2026 : 1er reporting annuel
• 17 janvier 2027 : 1er TLPT pour les acteurs significatifs
Sanctions en cas de non-conformité
Les sanctions peuvent être très lourdes :
- Pour les fournisseurs TIC critiques : jusqu'à 1% du CA mondial annuel
- Pour les autres entités : sanctions selon le droit national (peuvent dépasser 5 M€)
- Sanctions pénales possibles pour les dirigeants
Notre approche d'audit DORA
FinWoz propose un audit DORA en 4 phases :
- Diagnostic initial (2 semaines) — Gap analysis vs DORA
- Plan de remédiation (1 semaine) — Priorisation, budget, calendrier
- Mise en œuvre (3-9 mois selon complexité)
- Tests et validation (1 mois) — Audits de contrôle
🎯 FinWoz accompagne les institutions financières dans leur conformité DORA. Audit gratuit de pré-diagnostic.