Digital Operational Resilience Act

Règlement sur la résilience opérationnelle numérique
Autre(s) nom(s) DORA (Digital Operational Resilience Act)

Présentation
Titre Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011
Abréviation DORA
Sigle DORA
Référence (UE) 2022/2554
Organisation internationale  Union européenne
Territoire d'application  Union européenne
Langue(s) officielle(s) Langues officielles de l'Union européenne
Type Règlement
Branche Droit de l'Union européenne, Droit financier, Droit de l'informatique, Cybersécurité
Adoption et entrée en vigueur
Rédacteur(s) Commission européenne (proposition)
Législature 9e législature du Parlement européen
Gouvernement Commission von der Leyen (proposition)
Adoption 10 novembre 2022 (Parlement européen)
28 novembre 2022 (Conseil de l'Union européenne)
Signature 14 décembre 2022
Signataire(s) Présidents du Parlement européen et du Conseil de l'Union européenne
Publication 27 décembre 2022
(JOUE L 333, p. 1-79)
Entrée en vigueur 16 janvier 2023
(Applicable le 17 janvier 2025)
Version en vigueur Texte initial (2022/2554)
Modifications Modifie Règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011
(Aucune modification subie à ce jour)

Lire en ligne

Texte sur EUR-Lex

Digital Operational Resilience Act (DORA) est une règlementation européenne[1] ayant comme but d'accroitre la résilience des organisations face aux cyberattaques. Elle est applicable à partir de .

Historique

Contexte pré-DORA

Avant l'adoption de DORA, la gestion des risques liés aux technologies de l'information et de la communication (TIC) dans le secteur financier de l'Union européenne était caractérisée par une certaine fragmentation[2]. Les exigences étaient dispersées dans diverses législations sectorielles (banque, assurance, marchés) et variaient d'un État membre à l'autre, créant des complexités pour les acteurs transfrontaliers et des niveaux de protection inégaux[3]. Parallèlement, la transformation numérique rapide du secteur financier augmentait sa dépendance vis-à-vis des systèmes informatiques et des prestataires technologiques externes, notamment pour le cloud computing[4], tout en l'exposant à des cybermenaces croissantes et de plus en plus sophistiquées[5]. Ce constat a conduit les institutions européennes à reconnaître la nécessité d'un cadre réglementaire dédié et harmonisé pour renforcer la cyber-résilience de l'ensemble du secteur[6].

Processus législatif

L'initiative DORA a été formellement lancée dans le cadre du Paquet Finance Numérique (en anglais : Digital Finance Package), présenté par la Commission européenne le 24 septembre 2020[7]. Ce paquet comprenait plusieurs propositions législatives visant à moderniser le cadre réglementaire financier de l'UE face aux défis et opportunités du numérique, dont la proposition de règlement DORA (document COM/2020/595)[8].

La proposition a ensuite suivi la Procédure législative ordinaire (codécision)[9], impliquant des négociations approfondies entre les deux co-législateurs : le Parlement européen et le Conseil de l'Union européenne. Un accord politique provisoire entre les négociateurs des deux institutions a été annoncé le 11 mai 2022[10].

Cet accord a été formellement approuvé par le Parlement européen lors de sa session plénière du 10 novembre 2022[11], puis par le Conseil de l'Union européenne le 28 novembre 2022[12].

Adoption et entrée en vigueur

Le règlement (UE) 2022/2554 a été officiellement signé par les présidents du Parlement européen et du Conseil le 14 décembre 2022. Il a été publié au Journal officiel de l'Union européenne le 27 décembre 2022[13] et est entré en vigueur le 16 janvier 2023[13].

Pour laisser le temps aux entités financières, aux prestataires TIC et aux autorités de surveillance de se préparer, le règlement prévoit une période de mise en conformité de 24 mois. Ses dispositions deviendront donc pleinement applicables dans tous les États membres à partir du 17 janvier 2025[13].

Cadre réglementaire

Le renforcement de la résilience opérationnelle numérique du secteur financier européen s'appuie sur un ensemble coordonné d'actes juridiques de l'Union européenne.

Règlement

Le cœur du dispositif est le règlement (UE) 2022/2554, connu sous l'acronyme DORA[13]. Ce règlement constitue l'acte législatif principal qui établit les règles de fond harmonisées pour la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience, la gestion des risques liés aux tiers prestataires de services TIC et le partage d'informations.

En tant que règlement, DORA possède des caractéristiques déterminantes :

  • Application directe : Il s'applique uniformément dans tous les États membres dès sa date d'application (17 janvier 2025), sans nécessiter de loi de transposition nationale[14].
  • Caractère obligatoire : Ses dispositions sont contraignantes dans leur intégralité pour toutes les entités relevant de son champ d'application.
  • Harmonisation maximale : L'objectif est de créer un standard unique pour la résilience numérique dans le secteur financier de l'UE[3].

Directive

Adoptée et publiée en parallèle du Règlement DORA, la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022[15] a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, etc. afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.

Cette directive d'amendement doit être transposée en droit national par les États membres pour que les modifications apportées aux directives sectorielles soient effectives dans chaque pays[16].

Les normes techniques

Pour assurer une application concrète, détaillée et uniforme des obligations fixées par le règlement DORA, celui-ci mandate les Autorités européennes de surveillance (ABE, AEAPP et AEMF) pour élaborer des normes techniques[17]. Ces normes sont des actes juridiques contraignants qui spécifient les détails techniques requis par le règlement :

  • Normes techniques de réglementation : Complètent le règlement DORA sur des aspects essentiels. Par exemple, elles détaillent le contenu du cadre de gestion des risques TIC[18], les critères de classification des incidents[19] ou les exigences contractuelles pour les tiers[20].
  • Normes techniques d'exécution : Assurent des conditions uniformes d'application, souvent via des modèles ou formats standardisés. Par exemple, elles définissent les modèles pour le registre d'informations sur les contrats TIC[21] ou les formats de notification d'incidents[22].

Ces normes techniques tirent leur base légale du règlement DORA et sont indispensables à sa mise en œuvre opérationnelle.

Champ d'application

DORA s'applique à un large éventail d'entités financières réglementées au sein de l'UE[23]. Cela inclut notamment :

  • Les établissements de crédit (banques)
  • Les établissements de paiement
  • Les établissements de monnaie électronique
  • Les entreprises d'investissement (sauf si exemptées à l’article 2 ou 3 de MiFID)[24]
  • Les prestataires de services sur crypto-actifs (relevant du règlement MiCA)
  • Les dépositaires centraux de titres (CSD)
  • Les contreparties centrales (CCP)
  • Les plates-formes de négociation (marchés réglementés, MTF, OTF)
  • Les référentiels centraux
  • Les gestionnaires de fonds d'investissement alternatifs (AIFM)
  • Les sociétés de gestion (UCITS)
  • Les prestataires de services de communication de données (DRSP)
  • Les entreprises d'assurance et de réassurance (sauf les organismes écartés du périmètre de Solvabilité II en raison de leur taille)[25]
  • Les intermédiaires d'assurance, de réassurance et auxiliaires (sauf si micro-entreprises ou PME)[25]
  • Les institutions de retraite professionnelle (IORP)
  • Les agences de notation de crédit
  • Les administrateurs d'indices de référence critiques
  • Les prestataires de services de financement participatif (Crowdfunding)
  • Les référentiels des titrisations

Le règlement s'applique également aux prestataires tiers de services TIC qui fournissent des services aux entités financières susmentionnées[23]. Un régime de surveillance spécifique est prévu pour les prestataires tiers de services TIC jugés critiques pour le secteur financier européen[26]. Certaines entités peuvent bénéficier d'exemptions ou d'un régime allégé en fonction de leur taille, de leur nature et de leur profil de risque (principe de proportionnalité)[27].

Principales notions et exigences du règlement

Le règlement DORA (Digital Operational Resilience Act) introduit la notion centrale de résilience opérationnelle numérique, qui dépasse la simple protection des systèmes d'information. Il s'agit d'assurer la capacité continue des entités financières à prévenir, résister et se remettre d'incidents graves liés aux technologies de l'information et de la communication (TIC), tout en garantissant la continuité de leurs activités essentielles. Cette approche globale intègre à la fois la sécurité informatique, la gestion de crise, la continuité d’activité et la capacité de rétablissement[24],[25].

Une deuxième notion essentielle de DORA est la définition et la gestion des fonctions critiques ou importantes. Selon l'article 3.22, une fonction est considérée comme critique si sa perturbation est susceptible d'affecter de manière significative la performance financière d'une entité, sa stabilité, ou la continuité de ses services. La réglementation impose aux entités financières de définir elles-mêmes les critères permettant d'identifier ces fonctions, en veillant à ce que cette évaluation soit appropriée et proportionnée à leurs activités spécifiques[24],[25].

De plus, DORA repose sur le principe de proportionnalité (article 4), qui exige que les obligations imposées par le règlement soient adaptées à la taille, à la nature, à la complexité et au profil de risque de chaque entité financière. Cela permet d'assurer une application équilibrée du cadre réglementaire, évitant ainsi des charges excessives pour les structures plus petites ou moins exposées aux risques opérationnels numériques[24],[25].

Par ailleurs, le réglement DORA s'articule autour de cinq piliers principaux imposant des exigences spécifiques aux entités financières[28]:

Gestion des risques liés aux TIC (art. 5 à 16)

Les entités financières doivent disposer d'un cadre de gestion des risques liés aux TIC complet, bien documenté et approuvé par leur organe de direction[29]. Ce cadre doit inclure des stratégies, politiques, procédures et outils pour protéger tous les actifs informationnels et technologiques pertinents[30]. Il couvre l'identification des risques, la protection et la prévention, la détection des incidents, la réponse et la reprise, ainsi que l'apprentissage et l'évolution post-incident[29]. Des politiques de continuité des activités et des plans de reprise après sinistre liés aux TIC sont également requis[31].

Notification et gestion des incidents liés aux TIC (art. 17 à 23)

DORA harmonise et rationalise la notification des incidents liés aux TIC[32]. Les entités financières doivent mettre en place des processus pour identifier, gérer, classer et notifier les incidents majeurs liés aux TIC à leur autorité compétente[33]. Des critères clairs pour la classification des incidents (notamment "majeurs") et des délais stricts pour la notification initiale (dans les 4 h après classification de l’incident comme majeur et sous 24 h après sa détection)[24],[25], intermédiaire et finale sont définis[19]. Les Autorités européennes de surveillance (ABE, AEAPP et AEMF) développent des normes techniques pour préciser ces éléments[22].

Tests de résilience opérationnelle numérique (art. 24 à 27)

Les entités financières doivent tester régulièrement leurs systèmes et leur résilience opérationnelle numérique[34]. Cela inclut des tests de vulnérabilité, des tests de performance et d'autres analyses appropriées. Les entités financières identifiées comme significatives devront en outre effectuer, au moins tous les trois ans, des tests de pénétration avancés basés sur les menaces (en anglais : Threat-Led Penetration Testing - TLPT)[35]. Les exigences pour ces tests (méthodologie, périmètre, qualifications des testeurs) sont précisées par le règlement et les normes techniques[36].

Gestion des risques liés aux tiers prestataires de services TIC (art. 28 à 44)

Reconnaissant la dépendance croissante du secteur financier vis-à-vis des prestataires de services technologiques (Cloud computing, etc.), DORA impose des règles strictes pour la gestion des risques liés à ces tiers[37]. Les entités financières doivent avoir une stratégie de gestion des risques liés aux tiers, effectuer des due diligences avant de contractualiser, et s'assurer que les contrats avec les prestataires TIC (surtout pour les fonctions critiques ou importantes) contiennent des clauses spécifiques[21]. Ces clauses doivent couvrir des aspects comme les droits d'audit et d'accès, la sécurité, la notification d'incidents, et les stratégies de sortie[20].

Partage d'informations et de renseignements sur les menaces (article 45)

DORA encourage les entités financières à mettre en place des mécanismes pour partager entre elles, sur une base volontaire, des informations et des renseignements sur les cybermenaces (indicateurs de compromission, tactiques, techniques et procédures des attaquants)[38]. Ce partage vise à renforcer la sensibilisation collective et les capacités de défense préventive. Le partage doit se faire au sein de communautés de confiance et respecter la protection des données et la confidentialité commerciale[38].

Normes

Les autorités européennes de surveillance (AES) développent des normes techniques spécifiques pour détailler les exigences de DORA. Ces normes, qui acquièrent force obligatoire après publication au Journal officiel de l'Union européenne (JOUE), sont principalement connues sous leurs acronymes anglais :

  • Les RTS (Regulatory Technical Standards en anglais), correspondant aux normes techniques de réglementation (NTR).
  • Les ITS (Implementing Technical Standards en anglais), correspondant aux normes techniques d'exécution (NTE).
Normes techniques et lignes directrices DORA
Type Objet Référence DORA Texte d'application / Référence Statut (A fin avril 2025)
NTR (RTS) Cadre de gestion des risques liés aux TIC Art. 15.4, Art. 16.3.4 Règlement délégué (UE) 2024/1774[39] En vigueur (publié au JO le 25/06/2024, entré en vigueur le 15/07/2024)
NTR (RTS) Classification des incidents liés aux TIC et des cybermenaces Art. 20.3 Règlement délégué (UE) 2024/1772[40] En vigueur (publié au JO le 25/06/2024, entré en vigueur le 15/07/2024)
NTR (RTS) Contenu des rapports pour les incidents majeurs liés aux TIC et notification des cybermenaces importantes Art. 20 (a) Règlement délégué (UE) 2025/301[41] Adopté par la Commission le 23 octobre 2024 ; en attente de publication au Journal Officiel (JO) après période de scrutin.
NTE (ITS) Formulaires, modèles et procédures normalisés pour la notification des incidents majeurs liés aux TIC et des cybermenaces importantes Art. 20 (b) Règlement d'exécution (UE) 2025/304[42] Adopté par la Commission le 23 octobre 2024 ; en attente de publication au JO.
NTR (RTS) Tests de pénétration fondés sur la menace (TLPT) Art. 26 (11) Projet final soumis à la Commission le 17 juillet 2024[43] ; adoption et publication au JO en attente.
NTE (ITS) Modèles normalisés aux fins du registre d'informations Art. 28 (9) Règlement d'exécution (UE) 2024/2956[44],[45] En vigueur (publié au JO le 02/12/2024, entré en vigueur le 22/12/2024). Note : le projet initial des AES avait été rejeté par la Commission le 03/09/2024, puis révisé.
NTR (RTS) Politique relative à l'utilisation de services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC (politique sur les tiers) Art. 28.10.3 Règlement délégué (UE) 2024/1773[46] En vigueur (publié au JO le 25/06/2024, entré en vigueur le 15/07/2024)
NTR (RTS) Spécification des éléments lors de la sous-traitance de services TIC soutenant des fonctions critiques ou importantes Art.[2] 30 (5) Projet final soumis à la Commission le 26 juillet 2024[47]. Rejeté par la Commission le 21 janvier 2025 (concernant l'article 5). Les AES ont accepté les modifications demandées le 7 mars 2025. Adoption finale et publication au JO en attente.
Lignes directrices (Guidelines) Coopération entre les AES et les autorités compétentes concernant la structure du cadre de surveillance Art. 32 (7) Lignes directrices conjointes JC/GL/2024/36[48] Publiées par les AES le 6 novembre 2024.[3][4][5] Applicables depuis le 17 janvier 2025.
NTR (RTS) Harmonisation des conditions permettant la conduite des activités de surveillance Art. 41.2.2 Règlement délégué (UE) 2025/295[49] Adopté par la Commission le 24 octobre 2024 ; en attente de publication au JO après période de scrutin.

Articulation avec d'autres réglementations

DORA interagit avec plusieurs autres textes législatifs européens :

  • Directive NIS 2 (SRI 2) : DORA est considéré comme une Lex specialis par rapport à la directive NIS 2 sur la sécurité des réseaux et des systèmes d'information[50]. Cela signifie que les exigences de DORA prévalent pour les entités financières qui seraient autrement également couvertes par NIS 2. Cependant, une coordination est prévue entre les autorités compétentes.
  • RGPD : DORA s'applique sans préjudice du RGPD. La gestion des incidents TIC et le partage d'informations doivent respecter les règles de protection des données personnelles[51].
  • Réglementations sectorielles : DORA complète les exigences existantes en matière de gestion des risques opérationnels dans les réglementations sectorielles (comme CRD IV/CRR, Solvabilité II, MiFID II/MiFIR), en se concentrant spécifiquement et de manière détaillée sur la résilience opérationnelle numérique[52].

Impacts et conséquences

DORA devrait avoir des impacts significatifs :

  • Pour les entités financières : Elles devront revoir et renforcer leur gouvernance, leurs processus et leurs outils de gestion des risques TIC, investir dans la sécurité et la résilience, adapter leurs contrats avec les prestataires TIC, et mettre en place des programmes de tests robustes. Cela représente un effort de mise en conformité potentiellement coûteux mais vise à améliorer leur capacité à résister aux cyberattaques et aux pannes[53]. Une des conséquences de ce règlement est de rendre les dirigeants responsables de toute négligence informatique[54].
  • Pour les prestataires de services TIC : Ceux désignés comme critiques seront soumis à une surveillance directe de l'UE, avec des obligations spécifiques et des pouvoirs d'inspection et de sanction[26]. Tous les prestataires TIC travaillant avec le secteur financier devront probablement adapter leurs offres et leurs contrats pour répondre aux exigences de DORA[53].
  • Pour l'écosystème financier européen : DORA vise à renforcer la stabilité financière globale en réduisant le risque de contagion lié aux incidents cyber[55]. L'harmonisation des règles devrait également faciliter les opérations transfrontalières et créer des conditions de concurrence plus équitables[3].

Sanctions

En cas de non-conformité au règlement DORA, plusieurs conséquences peuvent être envisagées pour les entreprises concernées[13],[56]

  • Celles-ci peuvent faire l'objet d'amendes administratives. En outre, les autorités de supervision disposent du pouvoir d'adresser des avertissements publics aux institutions financières et de les contraindre à mettre en œuvre des plans de remédiation destinés à corriger les faiblesses ou défaillances affectant leur résilience opérationnelle.
  • Les entreprises ne respectant pas les exigences réglementaires peuvent également être tenues d'indemniser de manière appropriée leurs clients directs ainsi que des tiers ayant subi un préjudice lié au manquement constaté. Les entreprises du secteur financier doivent s'attendre à d'éventuelles actions en justice, notamment lors de fuites de données[57]
  • Dans les cas les plus graves de non-conformité répétée aux exigences de DORA, les autorités de surveillance peuvent imposer des exigences supplémentaires en matière de fonds propres (capital add-ons) et, le cas échéant, retirer l'agrément des entités financières concernées.

Concernant les prestataires critiques de services TIC, l'autorité compétente peut effectuer des contrôles sur pièces ou sur place. En cas de non-conformité aux obligations prévues par le règlement, elle est habilitée à imposer des sanctions, notamment des pénalités financières et des astreintes journalières pouvant atteindre jusqu'à 1 % du chiffre d'affaires mondial journalier du prestataire concerné, et ce pour une durée maximale cumulée de six mois (Article 35.8)[13],[58].

Notes et références

  1. Pattison, Andrew. A Guide to the EU Digital Operational Resilience Act, Walter de Gruyter. (ISBN 9781787784536).
  2. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 6.
  3. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 7.
  4. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 15.
  5. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 3.
  6. « Paquet "Finance numérique" - Contexte », sur finance.ec.europa.eu, Commission européenne (consulté le ), Voir section "Pourquoi ce paquet législatif ?"..
  7. « Finance numérique: la Commission présente un nouveau paquet de mesures visant à encourager l'innovation et la concurrence tout en atténuant les risques », sur ec.europa.eu, Commission européenne - Communiqué de presse, (consulté le ).
  8. « Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle numérique du secteur financier [...] (COM/2020/595 final) », sur EUR-Lex, Commission européenne, (consulté le ).
  9. « Procédure 2020/0266/COD - Résilience opérationnelle numérique pour le secteur financier », sur Observatoire législatif du Parlement européen (consulté le ).
  10. « Finance numérique: accord provisoire trouvé sur le règlement DORA », sur consilium.europa.eu, Conseil de l'Union européenne, (consulté le ).
  11. « Le Parlement adopte la législation sur la résilience opérationnelle numérique », sur europarl.europa.eu, Parlement européen, (consulté le ).
  12. « Finance numérique: le Conseil adopte le règlement DORA et une directive modifiant les règles relatives à l'échange d'informations, à la coopération transfrontière et à la surveillance », sur consilium.europa.eu, Conseil de l'Union européenne, (consulté le ).
  13. « Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier [...] », sur EUR-Lex, Union européenne, (consulté le ).
  14. « Règlements de l'Union européenne », sur european-union.europa.eu, Union européenne (consulté le ).
  15. « Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives [...] en ce qui concerne la résilience opérationnelle numérique du secteur financier », sur EUR-Lex, Union européenne, (consulté le ).
  16. « Directives de l'Union européenne », sur european-union.europa.eu, Union européenne (consulté le ).
  17. « Digital Operational Resilience Act (DORA) - EBA », sur eba.europa.eu, Autorité bancaire européenne (EBA) (consulté le ).
  18. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 15.
  19. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 18.
  20. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 30.
  21. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 28.
  22. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 20.
  23. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 2.
  24. « Réunion de Place - Webinaire DORA : Banques », sur acpr.banque-france.fr, Autorité de contrôle prudentiel et de résolution (ACPR) (consulté le ).
  25. « Réunion de Place - Webinaire DORA : Assurances », sur acpr.banque-france.fr, Autorité de contrôle prudentiel et de résolution (ACPR) (consulté le ).
  26. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Chapitre V, Section II (Articles 31-44).
  27. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 4.
  28. « Digital Operational Resilience Act (DORA) », sur esma.europa.eu, Autorité européenne des marchés financiers (ESMA) (consulté le ).
  29. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 6.
  30. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 9.
  31. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 11.
  32. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Chapitre III (Articles 17-23).
  33. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 17.
  34. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 24.
  35. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 26.
  36. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 27.
  37. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Chapitre V, Section I (Articles 28-30).
  38. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 45.
  39. « Règlement délégué (UE) 2024/1774 de la Commission du 17 janvier 2024 », sur EUR-Lex, Union européenne, (consulté le )
  40. « Règlement délégué (UE) 2024/1772 de la Commission du 17 janvier 2024 », sur EUR-Lex, Union européenne, (consulté le )
  41. « Règlement délégué (UE) 2025/301 de la Commission du 23 octobre 2024 », sur EUR-Lex, Union européenne, (consulté le )
  42. « Règlement d'exécution (UE) 2025/304 de la Commission du 23 octobre 2024 », sur EUR-Lex, Union européenne, (consulté le )
  43. (en) « ESAs submit draft technical standards on Threat Led Penetration Testing under DORA », sur esma.europa.eu, ESMA, (consulté le ).
  44. « Règlement d'exécution (UE) 2024/2956 de la Commission du 8 octobre 2024 », sur EUR-Lex, Union européenne, (consulté le )
  45. (en) « ESAs resubmit draft Implementing Technical Standards on the register of information under DORA », sur esma.europa.eu, ESMA, (consulté le ).
  46. « Règlement délégué (UE) 2024/1773 de la Commission du 17 janvier 2024 », sur EUR-Lex, Union européenne, (consulté le )
  47. (en) « ESAs resubmit draft Regulatory Technical Standards to specify the elements in contractual arrangements under DORA », sur esma.europa.eu, ESMA, (consulté le ).
  48. « JC/GL/2024/36 - Lignes directrices conjointes sur la coopération entre les AES et les autorités compétentes » [PDF], sur esma.europa.eu, AES (EBA, EIOPA, ESMA), (consulté le )
  49. « Règlement délégué (UE) 2025/295 de la Commission du 24 octobre 2024 », sur EUR-Lex, Union européenne, (consulté le )
  50. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Article 1, paragraphe 4.
  51. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 104.
  52. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 13.
  53. « DORA - Digital Operational Resilience Act (Analyse d'impact par une firme de conseil) », sur Deloitte Luxembourg (consulté le ).
  54. « DORA rend les dirigeants responsables de toute négligence informatique », sur Les Echos,
  55. « Règlement (UE) 2022/2554 [...] », sur EUR-Lex, Union européenne, (consulté le ), Considérant 2.
  56. (en) « DORA 2024 – Understanding the Digital Operational Resilience Act », sur ECIIA.eu, European Confederation of Institutes of Internal Auditing, (consulté le )
  57. « Cyberattaques : « Les banques doivent s'attendre à être visées par de potentielles actions en justice » », sur Les Echos,
  58. « Règlement DORA : pour un secteur financier cyber-résilient », sur Avocats Mathias, Cabinet Mathias Avocats, (consulté le )

Liens externes

  • Portail de l’Europe
  • Portail de la sécurité de l’information
Cet article est issu de Wikipédia. Sauf mention contraire, le texte est disponible sous licence Creative Commons Attribution-Share Alike 4.0. Des conditions supplémentaires peuvent s’appliquer aux fichiers multimédias.