DORA pour les banques : obligations du secteur bancaire

02L'essentiel

Ce qu'il faut retenir

Les banques relèvent de l'ACPR pour DORA, et de la BCE pour les établissements de crédit importants sur certains aspects (dont l'identification au titre des tests TLPT). Les cinq piliers du règlement structurent le dispositif attendu.

03En détail

Ce que le règlement implique ici

Les établissements de crédit figurent parmi les premières entités visées par DORA. Le règlement (UE) 2022/2554 leur impose un cadre complet de gestion du risque lié aux TIC, applicable depuis le 17 janvier 2025.

En France, l'ACPR supervise l'application de DORA aux banques. Pour les établissements de crédit importants, la BCE intervient également sur certains volets, notamment l'identification des entités soumises aux tests de pénétration fondés sur la menace (TLPT), dont la liste reste confidentielle.

Les cinq piliers structurent le dispositif bancaire : gouvernance et cartographie du risque TIC, notification des incidents majeurs, programme de tests de résilience, maîtrise du risque prestataires tiers avec registre d'information, et partage volontaire d'informations sur les cybermenaces.

Pourquoi les banques sont en première ligne

Les établissements de crédit concentrent des activités critiques pour la stabilité financière : tenue de comptes, systèmes de paiement, accès au crédit. Une interruption de leurs systèmes d'information se propage vite au reste de l'économie. C'est pourquoi le règlement (UE) 2022/2554, applicable depuis le 17 janvier 2025, place la résilience opérationnelle numérique du secteur bancaire parmi ses priorités, au même titre que la solidité prudentielle déjà encadrée par ailleurs.

DORA est un règlement européen d'application directe, et non une directive transposée pays par pays. Pour une banque déjà soumise à un dispositif de contrôle interne et de gestion des risques, le texte ne part donc pas de zéro : il vient préciser et harmoniser, à l'échelle de l'Union, les attentes en matière de risque lié aux technologies de l'information et de la communication (TIC). La démarche de mise en conformité DORA consiste largement à relire ces dispositifs existants à l'aune des cinq piliers du règlement.

La responsabilité passe par l'organe de direction

DORA ancre la gouvernance du risque TIC au plus haut niveau. L'organe de direction de l'établissement est responsable de la définition, de l'approbation et de la supervision du cadre de gestion du risque lié aux TIC. Concrètement, le sujet ne peut pas rester cantonné à la direction informatique : il remonte au comité exécutif et au conseil, qui doivent comprendre l'exposition, allouer les moyens et suivre la trajectoire de mise en conformité.

Pour une banque, cela implique plusieurs chantiers structurants :

• cartographier les fonctions critiques ou importantes et leurs dépendances aux systèmes et aux prestataires TIC ;
• formaliser une politique de gestion du risque TIC revue périodiquement, avec des plans de continuité et de reprise testés ;
• intégrer le risque lié aux prestataires tiers de services TIC dans le dispositif global de gestion des risques, et non comme un sujet contractuel isolé.

Ces travaux relèvent du premier pilier du règlement, dont le détail est repris dans nos repères sur les obligations DORA des banques.

Notification des incidents et registre des prestataires : deux livrables attendus

Au-delà de la gouvernance, deux obligations se traduisent par des livrables concrets et vérifiables par le superviseur. La première est la gestion des incidents : l'établissement doit détecter, documenter et classer ses incidents liés aux TIC selon leur gravité, puis notifier les incidents majeurs à l'autorité compétente dans les délais imposés par le règlement. Cela suppose une chaîne de remontée éprouvée, des critères de classification partagés et des modèles de déclaration prêts à l'emploi. Nos explications sur le reporting d'incident DORA détaillent cette mécanique.

La seconde est le registre d'information : la banque tient à jour un registre de ses accords contractuels conclus avec ses prestataires de services TIC, communiqué à l'autorité compétente au moins une fois par an. Sa construction oblige souvent à recenser des contrats dispersés entre métiers, à qualifier la criticité de chaque prestataire et à vérifier la présence des clauses contractuelles obligatoires. Pour aborder ce travail de fond, voir notre guide du registre des prestataires TIC.

Enfin, certains établissements de crédit importants relèvent, sur des volets précis, d'une supervision où la BCE intervient aux côtés de l'ACPR, notamment pour l'identification des entités appelées à conduire des tests de pénétration fondés sur la menace. La liste de ces entités n'est pas publique : l'autorité contacte bilatéralement celles qui sont concernées.

Calendrier et échéances à retenir

Deux dates structurent le calendrier du règlement (UE) 2022/2554 pour les banques. Le texte est entré en vigueur le 27 décembre 2022, vingt jours après sa publication au Journal officiel de l'Union européenne. Mais c'est sa date d'entrée en application, le 17 janvier 2025, qui fait foi pour les obligations opérationnelles : depuis cette date, les établissements de crédit doivent disposer d'un dispositif de gestion du risque lié aux TIC conforme aux exigences du règlement. La période séparant ces deux dates a servi de fenêtre de préparation, pendant laquelle les autorités et les superviseurs ont précisé leurs attentes.

Le règlement ne vit pas seul : il est complété par un corpus de normes techniques de réglementation (RTS) et de normes techniques d'exécution (ITS), élaborées sous l'égide des autorités européennes de surveillance. Ce corpus précise concrètement plusieurs obligations, par exemple la teneur du registre d'information, la classification des incidents ou la conduite des tests. Pour une banque, suivre la mise en conformité ne se limite donc pas à lire le texte de 2022 : il faut intégrer ces normes techniques à mesure qu'elles entrent en application, et ajuster les dispositifs internes en conséquence. La démarche de mise en conformité DORA a vocation à être révisée périodiquement, et non traitée comme un projet ponctuel refermé après le 17 janvier 2025.

Cadre réglementaire et champ d'application bancaire

Le champ d'application de DORA est volontairement large. Le règlement vise un grand nombre de catégories d'entités financières, et les établissements de crédit y figurent parmi les premières concernées, aux côtés notamment des établissements de paiement et de monnaie électronique, des entreprises d'investissement, des gestionnaires de fonds ou encore des entreprises d'assurance. Une banque universelle, qui cumule plusieurs de ces activités, peut donc relever de DORA au titre de plusieurs qualifications, ce qui renforce l'intérêt d'une cartographie précise de ses fonctions et de ses agréments.

Le cadre s'articule autour d'un principe de proportionnalité : toutes les exigences ne pèsent pas de la même façon sur toutes les entités, et certaines obligations sont allégées pour les plus petites structures. Pour le détail des seuils et des exemptions, il faut se reporter au texte du règlement lui-même, qui fait foi. Sur le plan de la supervision, c'est l'ACPR qui contrôle l'application de DORA aux banques en France, le superviseur s'appuyant sur les autorités européennes de surveillance pour l'harmonisation du cadre. Pour les établissements de crédit qualifiés d'importants, la BCE intervient sur certains volets dans le cadre de la supervision bancaire unique. Cette répartition est détaillée dans nos repères sur la conformité DORA et, pour la définition juridique du texte, dans la fiche règlement DORA du glossaire.

Reporting et notification des incidents côté banque

La gestion des incidents liés aux TIC est l'un des volets les plus tangibles de DORA pour un établissement de crédit, parce qu'elle se traduit par des obligations déclaratives vis-à-vis du superviseur. Le règlement impose de détecter, documenter et classer les incidents selon leur gravité, à partir de critères définis dans le texte et précisés par les normes techniques. Cette classification n'est pas un exercice théorique : elle conditionne le déclenchement, ou non, d'une notification à l'autorité compétente.

Pour les incidents qualifiés de majeurs, l'établissement doit notifier l'autorité compétente dans les délais imposés par le règlement. Concrètement, une banque doit donc être capable, en situation de crise, de qualifier rapidement un incident, de réunir les informations attendues et de produire la déclaration au bon format. Cela suppose en amont une chaîne de remontée éprouvée, des rôles clairement attribués et des modèles de déclaration préparés à froid. Le détail de cette mécanique déclarative, des critères de classification aux jalons de notification, est exposé dans nos explications sur le reporting d'incident DORA. Construire cette capacité avant un incident réel, plutôt que dans l'urgence, fait partie des chantiers prioritaires d'une mise en conformité DORA bien menée.

DORA et les autres réglementations

DORA ne remplace aucun des cadres auxquels une banque est déjà soumise : il s'y ajoute. La conformité au règlement (UE) 2022/2554 est cumulative avec les autres obligations, et il est utile de situer DORA par rapport à deux textes souvent cités dans le même souffle.

Le premier est le RGPD, le règlement (UE) 2016/679 sur la protection des données personnelles. Les deux textes sont des règlements européens, mais leurs objets sont distincts : le RGPD protège les données à caractère personnel, là où DORA vise la résilience opérationnelle numérique et la maîtrise du risque TIC du secteur financier. Une banque reste pleinement soumise au RGPD pour le traitement des données de ses clients, et à DORA pour la solidité de ses systèmes ; l'un ne dispense pas de l'autre. La distinction de principe entre les deux est développée dans notre comparatif DORA et RGPD.

Le second est NIS2, qui est une directive et non un règlement, et qui nécessite donc une transposition dans le droit national de chaque État membre. DORA est un texte sectoriel, propre au secteur financier ; à ce titre, il joue le rôle de cadre spécialisé pour les entités financières dans son champ d'application. Pour comprendre où s'arrête l'un et où commence l'autre du point de vue d'une banque, voir notre comparatif DORA et NIS2.

Questions fréquentes

DORA est-il un règlement ou une directive ?

DORA est un règlement : le règlement (UE) 2022/2554. Cette qualification est importante. Un règlement européen s'applique directement dans tous les États membres, sans transposition dans le droit national, contrairement à une directive comme NIS2. Les formulations « directive DORA » ou « loi DORA » sont donc juridiquement impropres.

Depuis quand DORA est-il applicable aux banques ?

Le règlement est entré en vigueur le 27 décembre 2022 et est entré en application le 17 janvier 2025. C'est cette dernière date qui fait foi : depuis le 17 janvier 2025, les établissements de crédit doivent disposer d'un dispositif conforme aux exigences de DORA.

Qui supervise l'application de DORA aux banques en France ?

En France, l'ACPR est l'autorité compétente pour la supervision de l'application de DORA aux banques. Pour les établissements de crédit importants, la BCE intervient également sur certains volets, notamment l'identification des entités soumises aux tests de pénétration fondés sur la menace, dont la liste n'est pas publique.

Le registre des prestataires TIC est-il obligatoire pour une banque ?

Oui. Chaque entité financière, dont les banques, doit tenir à jour un registre d'information de ses accords contractuels conclus avec ses prestataires de services TIC, et le communiquer à l'autorité compétente au moins une fois par an. La construction de ce registre est détaillée dans notre guide du registre des prestataires TIC.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit DORA pose le point de départ documenté de votre démarche.