Comprendre DORA : guides et ressources

Le plan de continuité d'activité et de reprise après incident dans DORA : pourquoi le règlement (UE) 2022/2554 exige des plans testés et actualisés, pas de simples documents.

DORA est entré en vigueur le 27 décembre 2022 et s'applique depuis le 17 janvier 2025. Comprendre la différence entre ces deux dates et ce que « applicable » signifie.

RTS et ITS de DORA : comment les trois AES (EBA, EIOPA, ESMA) precisent les obligations du reglement (UE) 2022/2554. Un corpus technique en construction.

DORA (règlement UE 2022/2554) et NIS2 (directive UE 2022/2555) : règlement à application directe vs directive transposée, périmètre sectoriel financier vs régime général. Les différences clés.

DORA (règlement UE 2022/2554) et RGPD (règlement UE 2016/679) : deux périmètres distincts et cumulatifs. Ce que chaque texte protège et pourquoi l'un ne dispense pas de l'autre.

Ce que DORA exige concrètement : gouvernance du risque TIC, notification des incidents majeurs, tests, clauses contractuelles, registre d'information et partage d'informations. Règlement (UE) 2022/2554.

Le premier pilier de DORA, socle des autres : gouvernance et contrôle interne, cartographie des actifs critiques, évaluations des risques, continuité. Source : règlement (UE) 2022/2554.

Le registre d'information des accords contractuels avec les prestataires de services TIC sous DORA : contenu, transmission annuelle à l'autorité, clauses obligatoires et criticité. Source : règlement (UE) 2022/2554.

Détecter, classifier et notifier les incidents TIC majeurs aux autorités dans les délais imposés par le règlement (UE) 2022/2554. Logique de preuve du pilier 2 de DORA.

Quelles sanctions en cas de non-conformité avec DORA ? Mesures administratives des autorités compétentes, supervision ACPR et AMF en France, et risque opérationnel et réputationnel. Source : règlement (UE) 2022/2554.

Tests de résilience TIC sous DORA : tests réguliers, tests de pénétration fondés sur la menace (TLPT), liste confidentielle et lettre d'identification. Source : règlement (UE) 2022/2554.

Rôle de l'ACPR et de l'AMF dans la supervision de DORA en France : répartition de principe banques et assurances vs marchés, et désignation des entités soumises au TLPT.

Glossaire DORA : TIC, incident majeur, TLPT, registre d'information, ACPR, AMF, AES, RTS/ITS. Et la désambiguïsation : DORA est un règlement, pas une directive ni une loi.

La résilience opérationnelle numérique au sens du règlement (UE) 2022/2554 : maintenir l'intégrité et la disponibilité de ses fonctions face au risque TIC, via les 5 piliers DORA.