RÈGLEMENT (UE) 2022/2554 - APPLICABLE DEPUIS LE 17 JANVIER 2025

Votre conformité DORA,
documentée et défendable

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) impose aux entités financières - et par ricochet à leurs prestataires TIC - un registre exhaustif des contrats, des clauses contractuelles précises et des preuves d'audit datées. SYAGA DORA-Express vous aide à répondre à ces exigences sans improviser, que vous soyez entité financière ou prestataire.

17/01
Applicable depuis 2025
21
Catégories d'entités visées (art. 2)
4h
Délai de notification d'un incident majeur
19
Prestataires TIC critiques déjà désignés

Le contexte réglementaire

DORA est un règlement, pas une directive : il s'applique directement dans tous les États membres, sans loi de transposition nationale à attendre.

DORA s'applique directement depuis le 17 janvier 2025

Règlement (UE) 2022/2554 du 14 décembre 2022, publié au JOUE le 27 décembre 2022, entré en vigueur le 16 janvier 2023 et applicable depuis le 17 janvier 2025. Aucune transposition nationale requise : il est directement opposable.

📋

Un registre TIC exhaustif est exigé (art. 28 §3)

Chaque entité financière doit tenir à jour et transmettre annuellement aux autorités un registre complet de ses contrats TIC : prestataire, nature du service, criticité de la fonction, pays d'hébergement des données.

📄

Vos contrats doivent contenir des clauses précises (art. 30)

Droits d'audit et d'inspection, garanties de disponibilité et d'intégrité des données, plans de sortie testés, notification d'incident sans délai. Ces clauses remontent de votre client financier vers vous si vous êtes son prestataire TIC.

📧

Le questionnaire due diligence est déjà dans votre boîte mail

Avant de signer ou de renouveler un contrat, une banque, un assureur ou un investisseur envoie un questionnaire cyber (gouvernance, MFA, EDR, chiffrement, sensibilisation). Y répondre sans preuve documentée fait perdre le contrat.

Le déclencheur du 18 novembre 2025

Vos prestataires cloud viennent d'être officiellement désignés « critiques »

Le 18-19 novembre 2025, les autorités européennes de supervision (EBA, ESMA, EIOPA) ont publié la première liste officielle des prestataires TIC critiques au titre de l'article 32 de DORA. Parmi les noms confirmés par les communiqués officiels : AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (et 14 autres prestataires non nominativement confirmés dans nos sources).

Conséquence concrète : si vos services critiques reposent sur l'un de ces prestataires, votre entité financière cliente doit désormais le documenter dans son registre TIC - et peut vous interroger sur votre propre chaîne de sous-traitance.

Source : communiqués officiels EIOPA et ESMA du 18-19 novembre 2025 (eiopa.europa.eu, esma.europa.eu).

Notre réponse : DORA-Express

Un accompagnement structuré en 5 étapes pour documenter votre conformité - sans promettre ce que ni un outil, ni un cabinet, ne peut certifier à votre place.

1
Étape 1 - Qualification

Identifions votre exposition réelle

Êtes-vous une entité financière directement soumise (une des 21 catégories de l'article 2), ou un prestataire TIC visé indirectement via les clauses contractuelles de vos clients financiers (article 30) ? Le périmètre exact conditionne tout le reste.

2
Étape 2 - Due diligence

Réponse à votre questionnaire cyber

Nous répondons à votre questionnaire de due diligence banque, investisseur ou assureur (gouvernance, MFA, EDR, chiffrement, sensibilisation...) en nous appuyant sur un audit technique de votre tenant Microsoft 365 comme preuve datée et vérifiable.

3
Étape 3 - Registre et contrats

Registre TIC et clauses article 30

Nous vous aidons à structurer votre registre des contrats TIC (art. 28 §3) et à vérifier ou intégrer les clauses contractuelles minimales et renforcées de l'article 30 dans vos contrats prestataires.

4
Étape 4 - Continuité et résilience

PRA/PCA profil sectoriel Finance

Notre PRA/PCA Suite propose un profil sectoriel Finance (DORA, PSD2, ACPR) qui couvre les exigences de tests de résilience opérationnelle du chapitre IV de DORA, aligné sur ISO 22301.

5
Étape 5 - Restitution

Un dossier de conformité documenté

Remise à votre direction, votre RSSI ou votre DAF d'un dossier consolidé, avec les points précis à faire trancher par votre conseil juridique avant toute communication aux autorités.

Ce que vous recevez

Des livrables concrets, sourcés, sans promesse de certification que personne ne peut garantir

📝

Réponses due diligence cyber

10 questions type due diligence banque / M&A, documentées et sourcées (ILPA DDQ, CSA CAIQ, questionnaires assureurs cyber).

  • Politique de sécurité / référentiel reconnu
  • MFA, moindre privilège, comptes à privilèges
  • Licence M365, EDR / threat hunting
  • Protocoles legacy, chiffrement disques
  • Programme de sensibilisation
📄

Fiche de référence DORA

Synthèse sourcée du règlement (UE) 2022/2554.

  • Périmètre : 21 catégories d'entités (art. 2)
  • 5 domaines d'obligations
  • Délais de notification (4h / 72h / 1 mois)
  • Articulation avec NIS2 (lex specialis)
📋

Registre TIC (canevas art. 28 §3)

Structure du registre exhaustif exigé par les autorités.

  • Prestataire et nature du service
  • Criticité de la fonction supportée
  • Pays d'hébergement des données
  • Format prêt pour transmission annuelle
🔐

Clauses contractuelles (canevas art. 30)

À intégrer ou vérifier dans vos contrats prestataires TIC.

  • Clauses minimales (tous contrats)
  • Clauses renforcées (fonctions critiques)
  • Droits d'audit et d'inspection
  • Plans de sortie et extractabilité des données
🏗

PRA/PCA profil Finance

Plan de continuité et reprise d'activité, profil sectoriel dédié.

  • Couverture chapitre IV DORA (tests de résilience)
  • Aligné ISO 22301
  • Profil sectoriel DORA / PSD2 / ACPR
  • Issu de notre PRA/PCA Suite existante
💾

Dossier de conformité documenté

Formats PDF et DOCX, consolidant l'ensemble des livrables.

  • Prêt pour votre direction / RSSI / DAF
  • Points à faire valider par votre avocat signalés
  • Base pour vos échanges avec ACPR / AMF
  • Éditable pour mise à jour annuelle

Un exemple : le questionnaire due diligence banque

Extrait des 10 questions que nous documentons pour vous, avec la source de chaque question

Thème Question Source
Gouvernance Votre politique de sécurité s'appuie-t-elle sur un référentiel reconnu (NIST, ISO 27001) ? ILPA DDQ 2.0
Audit tiers Réalisez-vous un audit annuel indépendant et des tests d'intrusion ? CSA CAIQ v4
Plan incident Existe-t-il un plan formel de réponse à incident, documenté et maintenu ? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Pour quels services imposez-vous l'authentification multifacteur ? Travelers - MFA Supplement
Comptes à privilèges Les accès suivent-ils le principe du moindre privilège, revus périodiquement ? CSA CAIQ v4 IAM
Messagerie Quelle licence M365 utilisez-vous ? Defender / threat hunting avancé actif ? vCSO.ai Cyber DD Checklist
Chiffrement Les disques des terminaux sont-ils intégralement chiffrés ? Google VSAQ
Formation Un programme de sensibilisation sécurité est-il établi pour tous les collaborateurs ? CSA CAIQ v4 HRS

Textes et référentiels couverts

Chaque livrable indique explicitement ce qu'il couvre - et ce qu'il ne couvre pas

DO

DORA (Règlement UE 2022/2554)

Registre TIC (art. 28), clauses contractuelles (art. 30), délais de notification (art. 19), référence aux prestataires TIC critiques désignés (art. 32).

N2

NIS2 - articulation avec DORA

DORA est une lex specialis vis-à-vis de NIS2 pour le secteur financier : les entités concernées appliquent DORA plutôt que les mesures NIS2 équivalentes.

ISO

ISO 22301 - continuité d'activité

Le profil PRA/PCA Finance s'aligne sur ISO 22301, référentiel de management de la continuité d'activité utilisé en complément de DORA.

RG

RGPD - notification distincte

La notification d'incident DORA (ACPR/AMF) est distincte de la notification RGPD (CNIL) en cas de violation de données personnelles : les deux peuvent être requises simultanément.

Un accompagnement adapté à votre situation

Chaque dossier DORA est différent selon votre statut - devis personnalisé dans tous les cas

Prestataire TIC

Vous fournissez des services à une ou plusieurs entités financières

Devis
selon périmètre
  • Réponse due diligence cyber
  • Registre TIC côté prestataire
  • Relecture clauses article 30
  • Dossier documenté prêt à transmettre
Demander un devis

Suivi annuel

Mise à jour régulière du dossier (obligations, contrats, registre)

Devis
récurrent
  • Mise à jour du registre TIC
  • Revue annuelle des clauses contractuelles
  • Veille sur les prestataires critiques désignés
  • Support pour vos due diligences clients
Demander un devis

Questions fréquentes

Mon entreprise est-elle une entité financière concernée par DORA ?
L'article 2 de DORA liste 21 catégories d'entités financières : établissements de crédit et de paiement, entreprises d'investissement, prestataires crypto-actifs agréés MiCA, assurance et réassurance, gestion de fonds, agences de notation, et d'autres. Les microentreprises (moins de 10 salariés, CA ou bilan inférieur à 2 M€) bénéficient d'une proportionnalité sur certaines obligations, mais ne sont pas exclues totalement. À vérifier au cas par cas avec un conseil juridique.
Je ne suis pas une banque, pourquoi DORA me concerne quand même ?
Si vous fournissez des services TIC (informatique, cloud, logiciel, hébergement) à une entité financière, l'article 30 impose à votre client de vous inscrire dans son registre et de vous imposer contractuellement des clauses précises : droits d'audit, notification d'incident sans délai, plans de sortie. Ces obligations passent par le contrat de votre client, pas par une supervision directe de l'autorité - sauf si vous êtes vous-même désigné prestataire TIC critique (article 31).
Quels sont les délais de notification d'un incident TIC majeur ?
Article 19 : notification initiale sous 4 heures après la classification comme incident majeur (au maximum 24 heures après la détection), rapport intermédiaire sous 72 heures, rapport final sous 1 mois. Ces notifications sont distinctes d'une éventuelle notification RGPD à la CNIL en cas de violation de données personnelles.
Qu'est-ce qu'un « prestataire TIC critique » ?
Ce sont des prestataires désignés explicitement par les autorités européennes de supervision (EBA, ESMA, EIOPA) selon des critères d'impact systémique, de substituabilité et de dépendance (article 31). La première liste officielle, publiée le 18-19 novembre 2025, compte 19 prestataires. Ils sont soumis à une supervision directe (inspections, reporting étendu) ; les autres prestataires TIC restent encadrés uniquement par les clauses contractuelles de leurs clients financiers.
DORA remplace-t-il NIS2 pour mon secteur ?
Oui pour les entités financières au sens de l'article 2 : DORA constitue une lex specialis par rapport à NIS2 pour le secteur financier. Les 21 catégories visées appliquent DORA à la place des mesures NIS2 équivalentes en matière de gestion des risques et de notification des incidents.
Ce service constitue-t-il un avis juridique ?
Non. DORA-Express est un outil d'accompagnement documentaire, pas un avis juridique. L'assujettissement exact de votre organisation à DORA et la conformité juridique de vos contrats doivent être validés par un avocat spécialisé avant toute décision engageante.

Prêt à documenter votre conformité DORA ?

Contactez-nous pour recevoir un devis personnalisé selon votre statut (entité financière ou prestataire TIC).

DORA-Express est un outil d'accompagnement documentaire et ne constitue pas un avis juridique. L'assujettissement de votre organisation à DORA et la validité juridique de vos contrats et registres doivent être confirmés par un avocat spécialisé.

Veille réglementaire - sources officielles

DORA expliqué simplement, sans jargon juridique. Chaque point ci-dessous renvoie vers le texte officiel qui le confirme.

Qui est concerné ?

DORA s'applique aux acteurs financiers européens : banques, assurances, sociétés d'investissement, plateformes de marché, gestionnaires de fonds, prestataires de paiement... ainsi qu'à leurs prestataires informatiques. Les très petites structures bénéficient de règles allégées.

source officielle (EUR-Lex) ↗

Ce que DORA vous demande concrètement

Le règlement couvre 6 grands sujets : la gestion du risque informatique, la surveillance de vos prestataires extérieurs, des tests réguliers de résistance, la remontée des incidents graves, le partage d'informations sur les menaces, et la surveillance des plus gros prestataires informatiques.

source officielle (EIOPA) ↗

Les dates à retenir

Texte adopté le 14 décembre 2022, publié au Journal officiel de l'UE le 27 décembre 2022 (JO L 333). Entrée en vigueur le 16 janvier 2023. Les obligations sont réellement dues depuis le 17 janvier 2025.

source EUR-Lex ↗ · source ESMA ↗

Vos prestataires informatiques sont aussi surveillés

Les plus gros prestataires informatiques (cloud, hébergement...) jugés « critiques » pour le secteur financier sont désormais contrôlés directement au niveau européen, avec un superviseur chef de file qui peut leur imposer des mesures.

source officielle (EIOPA) ↗

Un signalement d'incident enfin harmonisé

Avant DORA, chaque pays de l'UE avait ses propres règles pour déclarer un incident informatique grave. Désormais, une procédure européenne unique s'applique : les incidents majeurs sont notifiés directement aux autorités compétentes.

source EUR-Lex ↗

Et les sanctions ?

Le texte prévoit que les autorités publient les sanctions administratives qu'elles prononcent. Les montants précis des amendes ne sont pas stabilisés dans les sources consultées à ce jour - à confirmer au fil des précisions officielles.

source EUR-Lex (considérant 97) ↗

DORA : qui est vraiment concerné ?

Vous entendez parler de DORA sans savoir si cela s'applique chez vous ? Voici, expliqué simplement, le périmètre officiel du règlement, compris en 2 minutes, avec les textes qui le prouvent.

Le règlement européen 2022/2554 (Article 2) vise 21 catégories différentes d'entreprises financières, dont 12 sont supervisées par l'ESMA. Ce n'est pas une affaire réservée aux grandes banques : depuis le 17 janvier 2025, la quasi-totalité du secteur financier européen est concernée, à des degrés d'exigence différents selon la taille de la structure. source officielle (ESMA) ↗

🏦

Banques et paiement

Établissements de crédit (banques), établissements de paiement, établissements de monnaie électronique, prestataires de services d'information sur les comptes.

  • Toute banque commerciale ou coopérative
  • Fintechs de paiement agréées
  • Néo-banques et portefeuilles électroniques
📈

Marchés financiers et investissement

Entreprises d'investissement, plateformes de négociation, dépositaires centraux de titres, contreparties centrales, référentiels centraux, agences de notation, gestionnaires de fonds alternatifs, sociétés de gestion.

  • Sociétés de bourse, brokers
  • Gestionnaires d'actifs et de fonds
  • Agences de notation de crédit
🛡

Assurance et retraite

Entreprises d'assurance et de réassurance, intermédiaires d'assurance (hors micro-entreprises), institutions de retraite professionnelle de plus de 15 membres.

  • Assureurs et mutuelles
  • Courtiers d'assurance (selon taille)
  • Caisses de retraite professionnelle
🪙

Nouveaux acteurs numériques

Prestataires de services sur crypto-actifs, plateformes de financement participatif, référentiels de titrisation : la finance numérique entre elle aussi dans le périmètre.

  • Plateformes d'échange crypto agréées
  • Plateformes de crowdfunding financier
💻

Vos prestataires informatiques

Les prestataires TIC (cloud, hébergement, logiciels critiques) qui font tourner ces entreprises entrent aussi dans le radar. Les plus « critiques » pour tout le secteur sont surveillés directement au niveau européen.

  • Hébergeurs cloud utilisés par une banque
  • Éditeurs de logiciels bancaires critiques

Tout le monde n'a pas les mêmes obligations

DORA applique un principe de proportionnalité : plus une structure est petite, moins ses obligations sont lourdes. Certaines structures sont même explicitement hors champ.

Les micro-entreprises ont des règles allégées

Une micro-entreprise se définit officiellement comme une structure de moins de 10 salariés dont le chiffre d'affaires ou le bilan annuel ne dépasse pas 2 millions d'euros. Ces très petites structures financières échappent aux obligations de gouvernance les plus lourdes du règlement.

source officielle (EUR-Lex, définition UE) ↗ · source EUR-Lex (règlement DORA) ↗

Petites structures d'investissement ou de retraite

Les petites entreprises d'investissement « non interconnectées » et les petites institutions de retraite professionnelle bénéficient d'un cadre de gestion du risque informatique simplifié, détaillé par un règlement délégué de la Commission européenne.

source EUR-Lex (considérant 42) ↗

Les tout petits régimes de retraite : hors champ

Une institution de retraite professionnelle dont le ou les régimes gérés comptent au total 15 membres ou moins n'entre pas dans le périmètre du règlement.

source EUR-Lex (Article 2) ↗

Quelques cas particuliers exclus

Sont aussi hors champ : les offices de virement postal visés par la directive sur les établissements de crédit, certains gestionnaires de fonds ou assureurs bénéficiant d'exemptions sectorielles, ainsi que les intermédiaires d'assurance qui sont eux-mêmes micro-entreprises ou PME.

source EUR-Lex (Article 2) ↗

En clair : si votre entreprise est une entité financière européenne, ou si vous êtes un de ses prestataires informatiques, la question n'est plus « suis-je concerné » mais « à quel niveau d'exigence ». Le texte précise que chaque structure doit adapter ses moyens informatiques à sa taille, son profil de risque et la complexité de ses activités. source EUR-Lex (considérant 36) ↗

Le calendrier DORA, en clair

DORA n'est pas « une » date, ce sont plusieurs étapes qui s'enchaînent depuis fin 2022. Voici, dans l'ordre, ce qui s'est déjà passé et ce qui reste en cours - avec, pour chaque étape, le texte officiel qui le prouve.

Déjà obligatoire aujourd'hui

  • Le règlement DORA s'applique pleinement depuis le 17 janvier 2025.
  • Les règles de gestion du risque informatique (1er lot de normes techniques) sont en vigueur.
  • Le « registre d'information » (l'inventaire de vos prestataires TIC) est une obligation active.
  • La notification des incidents informatiques majeurs suit déjà la procédure DORA.

Encore en cours de finalisation

  • La liste officielle des prestataires informatiques jugés « critiques » pour toute l'Europe (processus lancé fin 2024, toujours en cours d'affinage par les autorités).
  • Certaines normes techniques (dont la sous-traitance) ont été renvoyées par les autorités européennes pour correction et ne sont pas encore stabilisées.
  • Les bilans réguliers des autorités européennes (rapports d'étape, retours d'expérience) se poursuivent au moins jusqu'en 2026.
1
14 décembre 2022

Le texte est adopté

Le Parlement européen et le Conseil adoptent le règlement (UE) 2022/2554. source EUR-Lex ↗

2
27 décembre 2022

Publication officielle

Le texte est publié au Journal officiel de l'Union européenne (JO L 333). source EUR-Lex ↗

3
16 janvier 2023

Entrée en vigueur

Le règlement existe juridiquement, mais son application effective aux entreprises est encore différée de deux ans - le temps de préparer les normes techniques et les registres. source ESMA ↗

4
Juillet 2023 - janvier 2024

Consultations publiques

Les trois autorités européennes de supervision financière (banque, assurance, marchés) organisent deux auditions publiques pour finaliser les règles pratiques d'application. source ESMA ↗

5
25 juin 2024

1er lot de normes techniques publié

Première série de règles précises sur la gestion du risque informatique (comment cartographier, protéger, détecter, réagir), adoptée par la Commission le 13 mars 2024. source EUR-Lex (2024/1774) ↗

6
17 juillet 2024

2e lot de normes techniques

Deuxième série de règles d'application (notamment sur la sous-traitance informatique et la surveillance des prestataires). source ESMA ↗

7
2 décembre 2024

Modèle officiel du « registre d'information »

La Commission publie le modèle technique (formulaires) que chaque entreprise concernée doit utiliser pour tenir à jour l'inventaire de ses prestataires informatiques. Entrée en vigueur le 22 décembre 2024. source EUR-Lex (2024/2956) ↗

17 janvier 2025 - DATE CLÉ

DORA s'applique pleinement

À partir de cette date, toutes les entités financières concernées (et leurs prestataires informatiques stratégiques) doivent être en conformité réelle, pas seulement « sur le papier ». source ESMA ↗ · source EIOPA ↗

8
30 avril 2025

Première collecte des registres

Les autorités nationales de supervision devaient remonter aux autorités européennes les premiers registres d'information reçus des entreprises assujetties. source ESMA ↗

Novembre 2024 - mai 2025 (en cours)

Désignation des prestataires « critiques »

Les autorités européennes bâtissent, étape par étape, la liste des prestataires informatiques (cloud, hébergement...) jugés si importants pour tout le secteur financier qu'ils seront surveillés directement au niveau européen. Le processus (collecte d'informations, décisions, rapport d'étape) s'est étalé de novembre 2024 à mai 2025 ; la date exacte de première désignation officielle n'est pas stabilisée dans les sources consultées à ce jour - à confirmer au fil des publications. source ESMA ↗

Décembre 2025 - juin 2026 et au-delà

Bilans réguliers en cours

Les autorités européennes continuent de publier des rapports d'étape (retours d'expérience sur les incidents majeurs, ajustements des règles de sous-traitance). DORA est un chantier vivant, pas un texte figé. source ESMA ↗

Calendrier établi à partir de sources officielles (EUR-Lex, ESMA, EIOPA) consultées le 17 juillet 2026. Certaines dates (désignation définitive des prestataires critiques, montants de sanctions) restent en cours de stabilisation par les autorités - nous les mettrons à jour dès qu'elles seront publiées.

Encore quelques questions de dirigeant

7 questions plus techniques, digérées simplement : chacune sourcée sur le texte officiel qui la confirme.

Dois-je organiser un test d'intrusion « en conditions réelles » (TLPT) ?
Pas forcément. DORA prévoit un niveau de test avancé appelé TLPT (test d'intrusion piloté par la menace) : une simulation d'attaque réelle menée par des testeurs spécialisés. Le règlement réserve cette obligation aux entités financières les plus importantes et exempte explicitement les micro-entreprises (moins de 10 salariés). Une norme technique européenne parue en 2025 précise qui est concerné et impose qu'un testeur externe intervienne au moins une fois tous les trois cycles de test.

source EUR-Lex (considérants 43, 56, 61) ↗ · source ESMA (règlement délégué (UE) 2025/1190) ↗

Qui vérifie concrètement que mon entreprise applique DORA ?
Pas une nouvelle police numérique : DORA s'appuie sur les autorités de supervision qui existent déjà pour chaque secteur financier (banque, assurance, marchés, paiement...). Chaque État membre désigne une ou plusieurs « autorités compétentes » parmi ses régulateurs sectoriels habituels, qui appliquent DORA en plus de leurs missions historiques.

source EUR-Lex (considérant 37) ↗

C'est quoi exactement le « registre » que je dois tenir sur mes prestataires informatiques ?
C'est une fiche d'identité de tous vos contrats informatiques : qui est le prestataire (cloud, logiciel, hébergeur...), quel service il fournit, si ce service est « critique ou important » pour votre activité, et où sont hébergées les données. Ce n'est pas un simple inventaire IT maison : le format exact est imposé par un texte européen qui fixe des modèles précis à respecter.

source EUR-Lex (considérant 65) ↗ · source ESMA (règlement d'exécution (UE) 2024/2956) ↗

Dois-je envoyer ce registre à une autorité, et à quelle échéance ?
Oui : les autorités de supervision collectent ces registres pour les transmettre aux autorités européennes. La première grande collecte a eu lieu au printemps 2025 (30 avril 2025). Vérifiez chaque année le calendrier fixé par votre autorité de tutelle, la fréquence exacte de mise à jour dépendant de votre secteur.

source ESMA ↗

Mon entreprise est petite, ai-je vraiment les mêmes obligations qu'une grande banque ?
Non, DORA prévoit un principe de proportionnalité. Si vous êtes une micro-entreprise (moins de 10 salariés, chiffre d'affaires ou bilan sous 2 millions d'euros), vous n'êtes pas obligé de nommer un responsable dédié à la surveillance de vos prestataires, vous pouvez adapter vos tests à vos moyens réels, vous êtes exempté du test avancé TLPT, et vous pouvez vous appuyer sur des audits indépendants mutualisés plutôt que d'auditer vous-même chaque prestataire.

source EUR-Lex (considérant 43) ↗

Existe-t-il déjà des textes d'application détaillés que mon prestataire IT doit connaître ?
Oui, DORA n'est pas qu'un texte de principe : plusieurs normes techniques détaillées sont déjà parues pour préciser comment l'appliquer concrètement, par exemple sur les tests de résistance (règlement délégué (UE) 2025/1190) ou sur le format du registre des prestataires (règlement d'exécution (UE) 2024/2956). Ce sont ces textes qu'un prestataire informatique sérieux doit connaître pour vous accompagner correctement.

source ESMA ↗

Si un de mes prestataires informatiques « critiques » ne respecte pas les règles, qui peut le sanctionner ?
Pour les plus gros prestataires informatiques désignés « critiques » au niveau européen, un « superviseur chef de file » européen peut leur infliger directement des astreintes journalières s'ils ne se conforment pas à ses recommandations : un pouvoir de sanction qui dépasse les frontières nationales. Pour les entités financières classiques (vous, si vous en êtes une), les sanctions restent définies et prononcées par vos autorités nationales compétentes habituelles.

source EUR-Lex (considérant 80) ↗

Ces réponses digèrent le texte officiel de DORA en langage simple : elles ne remplacent pas un avis juridique. Vérifiez toujours votre situation précise avec un conseil spécialisé.

Les sanctions DORA, en clair

« DORA prévoit des amendes » revient souvent dans les discours commerciaux. Ce que le texte officiel dit réellement, noir sur blanc : deux régimes distincts, avec un seul chiffre européen harmonisé - et pas de barème unique pour tout le monde.

Vous êtes une entité financière (banque, assurance, société de gestion...)

DORA ne fixe aucun montant ni pourcentage de chiffre d'affaires. Le texte renvoie explicitement à chaque Etat membre le soin de fixer ses propres règles de sanction (article 50, §3 : « Member States shall lay down rules establishing appropriate administrative penalties... »). En France, ce sont vos autorités habituelles - ACPR pour la banque/l'assurance, AMF pour les marchés - qui appliquent leur propre barème national, pas un barème DORA unique et européen.

Ce que le règlement impose en revanche : des types de mesures que chaque pays doit au minimum prévoir (liste ci-dessous) - à charge pour le droit national d'en fixer les montants exacts.

Vous êtes un prestataire informatique désigné « critique » (cloud, hébergeur...)

Ici, DORA fixe un chiffre précis et harmonisé pour toute l'Europe : une astreinte pouvant aller jusqu'à 1 % du chiffre d'affaires mondial journalier moyen, par jour de retard, pendant 6 mois maximum (article 35, §7-8). Ce n'est pas une sanction immédiate : elle ne peut être déclenchée qu'après au moins 30 jours calendaires de non-conformité constatée par l'autorité.

Cette astreinte ne concerne que les grands prestataires officiellement désignés « critiques » par l'UE - pas les entreprises clientes elles-mêmes qui les utilisent.

Le seul chiffre officiel de tout le règlement DORA

1 % du chiffre d'affaires journalier mondial moyen, par jour, pendant 6 mois maximum

C'est l'astreinte que peut imposer le « Lead Overseer » - l'une des trois autorités européennes de supervision financière (EBA, ESMA ou EIOPA, désignée par prestataire) - à un prestataire informatique critique qui refuse de se mettre en conformité après un délai d'au moins 30 jours. L'argent est versé au budget général de l'Union européenne, et chaque astreinte imposée doit en principe être rendue publique par le Lead Overseer.

Source : Règlement (UE) 2022/2554, article 35, paragraphes 6 à 10 - texte officiel EUR-Lex ↗

Ce que votre autorité peut décider (entités financières)

Cinq types de mesures que chaque Etat membre doit au minimum prévoir dans son droit national - article 50, §4 de DORA.

1

Ordre de cesser

Obliger l'entreprise à arrêter immédiatement la pratique non conforme et à ne pas la recommencer.

2

Cessation temporaire ou définitive

Interdire une pratique ou un comportement jugé contraire au règlement, de façon temporaire ou permanente.

3

Mesure à caractère pécuniaire

Toute mesure, y compris financière, pour ramener l'entreprise en conformité - montant fixé par le droit national de chaque pays.

4

Réquisition de données de trafic

Exiger d'un opérateur télécom des relevés existants, en cas de soupçon raisonnable de violation.

5

Publication du nom

Rendre public un avis indiquant l'identité de l'entreprise et la nature du manquement (« name and shame »).

Pour calibrer le niveau exact de la sanction, l'article 51§2 de DORA demande à l'autorité de tenir compte notamment : de la gravité et de la durée du manquement, du degré de responsabilité, de la solidité financière de l'entreprise, des profits tirés ou pertes évitées, des dommages causés à des tiers, du niveau de coopération et des antécédents.

Analyse fondée sur la lecture intégrale des articles 35 et 50 à 53 du règlement (UE) 2022/2554, texte officiel publié au Journal officiel de l'UE (L 333, 27/12/2022), consulté sur EUR-Lex le 17 juillet 2026. Aucun montant chiffré de sanction n'existe dans le texte pour les entités financières (renvoi au droit national de chaque Etat membre) - nous ne l'inventons donc pas. Aucune astreinte au titre de l'article 35 n'est recensée publiquement à ce jour dans nos sources ; DORA n'est pleinement applicable que depuis le 17 janvier 2025.