Glossaire DORA : le règlement, pas le reste (désambiguïsation)

DORA, pour Digital Operational Resilience Act, désigne le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier. Le sigle revient avec un vocabulaire technique précis (TIC, incident majeur, TLPT, registre d'information, RTS/ITS) et avec des acronymes d'autorités. Ce glossaire en donne des définitions courtes, puis lève une confusion fréquente : « DORA » est polysémique, et le mot « règlement » n'est pas interchangeable avec « directive » ou « loi ».

Les termes clés du règlement

• TIC (technologies de l'information et de la communication) : périmètre de DORA. Le règlement encadre la gestion des risques liés aux TIC dans le secteur financier, sur toute la chaîne de valeur.
• Résilience opérationnelle numérique : la capacité d'une entité financière à résister, réagir et se rétablir face aux incidents et cybermenaces affectant ses systèmes TIC. C'est l'objet même du règlement.
• Incident majeur : un incident lié aux TIC suffisamment grave, au regard des critères du règlement, pour devoir être notifié à l'autorité compétente dans les délais imposés. La classification des incidents par gravité est l'un des piliers de DORA.
• TLPT (Threat-Led Penetration Testing, tests de pénétration fondés sur la menace) : tests avancés exigés pour certaines entités présentant une importance pour la stabilité financière. La liste des entités soumises au TLPT est confidentielle ; l'autorité compétente contacte bilatéralement les entités concernées par une lettre d'identification.
• Registre d'information (RoI, Register of Information) : registre tenu à jour par l'entité financière, recensant ses accords contractuels conclus avec des prestataires de services TIC, et communiqué à l'autorité compétente au moins une fois par an.
• Prestataire tiers critique de services TIC : un fournisseur TIC dont la défaillance pèserait sur le secteur financier. DORA traite le risque tiers comme une composante du risque TIC, impose des clauses contractuelles obligatoires et une évaluation de la criticité des prestataires.
• RTS / ITS : les normes techniques de réglementation (RTS) et normes techniques d'exécution (ITS) qui précisent les obligations de DORA. Elles sont élaborées par les autorités européennes de surveillance et forment un corpus en construction.

Les autorités et leurs acronymes

• AES : les autorités européennes de surveillance, au nombre de trois, qui élaborent les RTS/ITS, désignent les prestataires tiers critiques de services TIC et assurent un cadre de supervision.
• EBA : l'AES compétente pour le secteur bancaire.
• EIOPA : l'AES compétente pour l'assurance et les pensions professionnelles.
• ESMA : l'AES compétente pour les marchés financiers.
• ACPR (Autorité de contrôle prudentiel et de résolution) : en France, autorité compétente pour la supervision de DORA, notamment sur les banques et les assurances.
• AMF (Autorité des marchés financiers) : en France, autorité compétente pour les entreprises d'investissement, les sociétés de gestion et les infrastructures de marché.

DORA est polysémique : ne pas confondre

Hors du champ financier, « DORA » renvoie à des réalités sans aucun rapport avec la réglementation. Sur le terrain de la conformité, le sigle n'a qu'une seule lecture utile : le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022. C'est ce texte, et lui seul, que ce glossaire couvre. Si une recherche mélange plusieurs significations, c'est la qualification « secteur financier » qui tranche.

« Directive », « norme » ou « loi » DORA : la correction

On lit souvent « directive DORA », « norme DORA » ou « loi DORA ». Ces formulations sont juridiquement impropres. DORA est un règlement européen : il est d'application directe dans tous les États membres, sans transposition nationale. La nuance n'est pas cosmétique. À la différence d'une directive comme NIS2, qui doit être transposée par chaque État, un règlement s'impose tel quel, à la même date, dans toute l'Union. Parler de « directive DORA » revient donc à se tromper de catégorie de texte, et à mésestimer la façon dont les obligations deviennent opposables.

Une fois le vocabulaire posé, l'étape concrète consiste à le confronter à votre dispositif réel. Le plus simple est de partir de vos écarts pour engager une mise en conformité DORA cadrée sur votre situation plutôt que sur des définitions générales.

Poursuivre la lecture

Poursuivre la lecture