Digital Operational Resilience Act (DORA)

Les exigences de ce règlement sont rendues applicables, sauf exceptions, à l’ensemble des entités du secteur financier et concernent :  

• la gestion du risque informatique ;

• le reporting des incidents ;

• les tests de résilience ;

• la gestion du risque de tiers porté par les prestataires de services informatiques.

Textes réglementaires publiés à ce jour au Journal officiel de l’Union européenne

Règlement et directive européennes DORA

• Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier

• Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 en ce qui concerne la résilience opérationnelle numérique du secteur financier

Règlements délégués

La liste des règlements délégués et règlement d’exécution est disponible sur le site de la Commission.

Dispositions nationales

Dispositions législatives et règlementaires

A venir

Instructions ACPR

• Instruction 2025-I-09 relative à la déclaration à l’Autorité de contrôle prudentiel et de résolution de l’externalisation de l’obligation de déclaration des incidents majeurs liés aux technologies de l’information et de la communication (TIC)

• Instruction 2025-I-10 relative aux déclarations des incidents majeurs liés aux TIC et aux notifications volontaires des cybermenaces importantes à l’Autorité de contrôle prudentiel et de résolution

• Instruction 2025-I-11 relative aux déclarations des incidents majeurs liés aux TIC et aux notifications volontaires des cybermenaces importantes à l’Autorité de contrôle prudentiel et de résolution

• Instruction 2025-I-12 relative à la remise à l’Autorité de contrôle prudentiel et de résolution des registres d’informations sur les accords contractuels portant sur l’utilisation de services de technologies de l’information et de la communication

Documents élaborés par l'ACPR

• FAQ sur la directive et le règlement DORA

• Canevas des rapports de contrôle interne - Annexe sur la gestion des risques liés aux Technologies de l’Information et de la Communication –TIC- (secteur banque)

• Communication d'informations à l’autorité de contrôle et informations à destination du public (RSR/SFCR) pour les entreprises et groupes d’assurance soumis à la Directive Solvabilité 2

• Notice décrivant le cadre de gestion des risques liés aux TIC au sens du règlement européen n°2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA)

• Formulaire de déclaration d’externalisation de notification des incidents majeurs

Supports et replays de webinaires passés

• Présentation : État des lieux huit mois après l'entrée en vigueur de DORA

Reporting

La liste des remises attendues dans le cadre du règlement DORA est présentée ci-dessous.

Des informations complémentaires (modalités de remises, maquettes et autres informations techniques) sont disponibles sur le site esurfi :

• Modalités de remises : Remises DORA pour la Banque (secteur Banque) et Remises Assurance (secteur assurance)

• Maquettes : Etats et notices - DORA (secteur banque) et Etats et notices - DORA (secteur assurance)

• Autres informations techniques : Informations techniques sur la collecte DORA pour la Banque (secteur banque) et Informations techniques sur la collecte DORA pour l'assurance (secteur assurance)