DORA (Digital Operational Resilience Act)
DORA est le règlement européen sur la résilience opérationnelle numérique du secteur financier, applicable depuis janvier 2025 : gestion des risques TIC, tests, TLPT.
Le Digital Operational Resilience Act, règlement européen 2022/2554, encadre la résilience opérationnelle numérique de tout le secteur financier : banques, assureurs, entreprises d’investissement, prestataires de services sur crypto-actifs, et jusqu’aux fournisseurs de services informatiques jugés critiques pour le secteur. Étant un règlement et non une directive, il s’applique directement, sans transposition nationale, et il est en vigueur depuis le 17 janvier 2025.
Le texte s’articule autour de cinq piliers : la gestion des risques liés aux technologies de l’information, la notification des incidents majeurs, les tests de résilience opérationnelle, la maîtrise des risques liés aux prestataires tiers, et le partage d’information. Le volet tests est gradué : toutes les entités doivent tester régulièrement leurs systèmes, et les plus significatives se voient imposer un TLPT, un test d’intrusion fondé sur la menace, mené sur les systèmes de production au moins tous les trois ans.
DORA complète NIS2 en régime de lex specialis : pour les entités financières, c’est lui qui prime. Notre article DORA et le test d’intrusion TLPT détaille les obligations de test et la manière de s’y préparer sans attendre la désignation par le régulateur.