DORA : date d'entrée en vigueur et échéances

Deux dates reviennent sans cesse à propos de DORA, le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier : le 27 décembre 2022 et le 17 janvier 2025. Elles ne désignent pas la même chose. Les confondre conduit à mal situer ses propres échéances de conformité.

La question « DORA compliance date » revient à distinguer deux notions juridiques précises : l'entrée en vigueur du texte et son entrée en application. Voici ce que recouvre chacune.

Entrée en vigueur : 27 décembre 2022

Le règlement (UE) 2022/2554 a été adopté le 14 décembre 2022 par le Parlement européen et le Conseil, puis publié au Journal officiel de l'Union européenne (JOUE). Conformément à la règle habituelle, il est entré en vigueur le 27 décembre 2022, soit vingt jours après cette publication.

L'entrée en vigueur signifie que le texte existe juridiquement et fait partie du droit de l'Union. À partir de cette date, DORA est un acte contraignant en tant que règlement, c'est-à-dire d'application directe dans tous les États membres, sans transposition nationale, contrairement à une directive. Mais entrer en vigueur ne veut pas dire produire immédiatement toutes ses obligations à l'égard des entités concernées.

Entrée en application : 17 janvier 2025

Le règlement a prévu un délai entre son entrée en vigueur et le moment où ses exigences deviennent effectivement opposables aux entités financières. Cette entrée en application a été fixée au 17 janvier 2025.

C'est cette seconde date qui compte pour une entité financière et ses prestataires de services TIC. Avant le 17 janvier 2025, le texte était en vigueur mais laissait une période de préparation. Depuis cette date, DORA est applicable : les obligations de gestion du risque lié aux TIC, de notification des incidents, de tests de résilience, de maîtrise des prestataires tiers et de tenue du registre d'information sont pleinement exigibles.

Ce que « applicable » veut dire concrètement

Qu'un règlement soit applicable a une conséquence directe : une autorité compétente peut désormais exiger d'une entité concernée qu'elle démontre sa conformité. En France, l'ACPR et l'AMF supervisent l'application de DORA selon les entités relevant de leur périmètre.

« Applicable » ne se résume pas à une déclaration d'intention. Cela signifie que les dispositifs attendus doivent être en place et documentés, et qu'une entité doit pouvoir produire des preuves opposables : cartographie des fonctions critiques, procédures de classification et de notification des incidents, registre d'information des accords contractuels conclus avec les prestataires TIC. La date d'application n'ouvre donc pas une phase de réflexion, mais une phase de contrôle.

Un corpus de normes techniques encore en construction

Une nuance importante accompagne ces deux dates. DORA fixe le cadre, mais ses obligations sont précisées par des normes techniques de réglementation (RTS) et des normes techniques d'exécution (ITS) élaborées sous l'égide des autorités européennes de surveillance : l'EBA pour la banque, l'EIOPA pour l'assurance et les pensions, l'ESMA pour les marchés.

Ce corpus se construit progressivement et continue d'enrichir le détail des exigences au-delà de la seule date d'application. En pratique, suivre DORA suppose donc de ne pas s'arrêter aux deux dates clés, mais de tenir compte de cet ensemble de textes d'application qui en précisent la mise en œuvre.

Retenir les deux dates, agir sur la bonne

En résumé : DORA est entré en vigueur le 27 décembre 2022 et s'applique depuis le 17 janvier 2025. La première date ancre le texte dans le droit de l'Union ; la seconde déclenche l'exigibilité concrète des obligations. C'est sur cette seconde échéance, désormais derrière nous, que se mesure le retard ou l'avance d'une entité. Situer son organisation par rapport à cette ligne est le point de départ d'une démarche de mise en conformité DORA menée à partir de l'écart réel, et non d'un calendrier abstrait.

Poursuivre la lecture

Poursuivre la lecture