Mise en conformité DORA Être recontacté

Comprendre DORA · règlement (UE) 2022/2554

Checklist de conformité DORA

Vérifié · juin 2026 · Règlement (UE) 2022/2554 · EUR-Lex

Mis à jour le

Cette checklist organise les exigences du règlement (UE) 2022/2554, dit DORA, autour de ses cinq piliers. Elle sert à structurer une revue interne et à repérer les écarts les plus visibles. Ce sont des points de contrôle à vérifier, pas une attestation : passer en revue ces items n'établit pas votre conformité.

DORA est un règlement européen d'application directe, entré en application le 17 janvier 2025. Le périmètre exact des obligations dépend de la catégorie d'entité et du principe de proportionnalité prévu par le texte. Pour toute qualification précise, le règlement et les autorités compétentes (en France, l'ACPR et l'AMF) font foi.

Pilier 1. Gouvernance et gestion du risque lié aux TIC

Le socle des autres piliers : un cadre de gouvernance et de contrôle interne du risque lié aux technologies de l'information et de la communication. Points à vérifier :

  • L'organe de direction est identifié comme responsable du cadre de gestion du risque TIC et en assure le suivi.
  • Les fonctions et actifs critiques ou importants sont identifiés et cartographiés.
  • Cette cartographie est surveillée et mise à jour en continu, pas figée à un instant donné.
  • Des évaluations périodiques des risques TIC sont conduites et documentées.
  • Des plans de continuité d'activité et de reprise après incident existent, sont testés et actualisés.

Pilier 2. Gestion, classification et notification des incidents

Détecter, documenter et tracer les incidents liés aux TIC, et savoir notifier les incidents majeurs aux autorités dans les délais imposés. Points à vérifier :

  • Un processus de détection et d'enregistrement des incidents TIC est en place.
  • Les incidents sont classifiés selon leur gravité, sur la base des critères du règlement.
  • La procédure de notification des incidents majeurs aux autorités compétentes est définie et connue des équipes.
  • Les preuves de détection, de remontée et de traitement sont conservées et opposables à un superviseur.

Pilier 3. Tests de résilience opérationnelle numérique

Tester régulièrement le dispositif TIC, avec un régime renforcé pour certaines entités. Points à vérifier :

  • Un programme de tests réguliers du dispositif TIC est défini et exécuté.
  • Les résultats des tests donnent lieu à des actions correctives suivies.
  • Le cas échéant : si l'entité est concernée par les tests de pénétration fondés sur la menace (TLPT, Threat-Led Penetration Testing), le dispositif correspondant est prévu.
  • À noter : la liste des entités soumises au TLPT n'est pas publique ; l'autorité compétente contacte bilatéralement les entités concernées. Ne présumez ni votre inclusion ni votre exclusion.

Pilier 4. Prestataires tiers TIC et registre d'information

Traiter le risque tiers comme une composante du risque TIC, encadrer les contrats et tenir un registre d'information. Points à vérifier :

  • Les prestataires de services TIC sont recensés et leur criticité est évaluée.
  • Les contrats avec ces prestataires intègrent les clauses contractuelles obligatoires prévues par le texte.
  • Un registre d'information des accords contractuels conclus avec les prestataires TIC est tenu à jour.
  • Ce registre est en état d'être communiqué à l'autorité compétente au moins une fois par an.

Pilier 5. Partage d'informations

Le seul pilier reposant sur le volontariat. Points à vérifier :

  • La possibilité de participer à un partage d'informations et de renseignements sur les cybermenaces entre entités financières a été examinée.
  • Si l'entité y participe, le cadre est documenté ; il s'agit d'une démarche volontaire, pas d'une obligation déclarative supplémentaire.

Ce que cette checklist ne fait pas

Une checklist met en lumière des écarts apparents ; elle ne juge ni la suffisance des dispositifs, ni leur application réelle, ni les cas limites propres à votre catégorie d'entité. Le détail des seuils, des exemptions et des normes techniques (RTS et ITS élaborées par les autorités européennes de surveillance) se lit dans le texte et ses actes d'application, pas dans une liste de contrôle. Pour la qualification de votre situation et l'arbitrage des cas particuliers, le règlement (UE) 2022/2554 et les autorités compétentes restent la référence.

Cocher des cases ne remplace pas un diagnostic. Le travail utile commence quand on confronte chaque point à la réalité du dispositif et qu'on en tire des jalons priorisés et des preuves opposables. C'est précisément ce que vise une démarche de mise en conformité DORA menée à partir de l'écart réel, et non d'un document de façade.

Poursuivre la lecture

Poursuivre la lecture

ACPR et DORA : rôle du superviseur français Glossaire DORA : le règlement, pas le reste (désambiguïsation) DORA : cadre de gestion du risque lié aux TIC

Et maintenant

Passer à l'action

Le plus direct : décrivez votre situation, un expert vous rappelle et cadre votre trajectoire de conformité DORA. Vous préférez d'abord faire le point seul ? Reprenez les exigences pilier par pilier.

Décrire ma situation DORA Voir ce que le règlement DORA exige

Réponse sous 48 h ouvrées · sans engagement · données utilisées pour cette demande uniquement