Digital Operational Resilience Act (DORA)

Les exigences de ce règlement sont rendues applicables, sauf exceptions, à l’ensemble des entités du secteur financier et concernent :  

• la gestion du risque informatique ;

• le reporting des incidents ;

• les tests de résilience ;

• la gestion du risque de tiers porté par les prestataires de services informatiques.

Afin de poursuivre son accompagnement du secteur financier français en vue de l’arrivée prochaine de cette réglementation, l’ACPR a organisé le mercredi 9 octobre 2024 deux conférences (Banque et Assurance) à l’occasion desquelles elle a pu présenter cette nouvelle réglementation ainsi que les attentes des autorités, en particulier en matière de reporting. L’ACPR continuera ses échanges avec les acteurs du secteur financier afin de les accompagner dans leur préparation à cette nouvelle réglementation. Cette page sera ainsi mise régulièrement à jour pour apporter des réponses aux questions soulevées par les établissements concernés.

Visionner les webinaires en replay

Textes réglementaires publiés à ce jour au Journal officiel de l’Union européenne

Règlement et directive européennes DORA

• Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier

• Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier

Règlements délégués

• Règlement délégué (UE) 2024/1502 de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières

• Règlement délégué (UE) 2024/1505 de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil en déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances

• Règlement délégué (UE) 2024/1772 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les critères de classification des incidents liés aux TIC et des cybermenaces, fixant des seuils d’importance significative et précisant les détails des rapports d’incidents majeurs

• Règlement délégué (UE) 2024/1773 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu détaillé de la politique relative aux accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC

• Règlement délégué (UE) 2024/1774 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC

Documents élaborés par l'ACPR

• Canevas des rapports de contrôle interne - Annexe sur la gestion des risques liés aux Technologies de l’Information et de la Communication –TIC- (secteur banque)

• Notice décrivant le cadre de gestion des risques liés aux TIC au sens du règlement européen n°2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA)

• Communication d'informations à l’autorité de contrôle et informations à destination du public (RSR/SFCR) pour les entreprises et groupes d’assurance soumis à la Directive Solvabilité 2