Ir al contenido

Glossaire des affaires

DORA (Digital Operational Resilience Act)

DORA (Règlement UE 2022/2554) est le cadre réglementaire européen imposant aux entités du secteur financier de gérer et d'atténuer le risque informatique, d'assurer la résilience opérationnelle face aux perturbations numériques et d'imposer des normes contractuelles à leurs prestataires de technologie. Il est devenu directement applicable dans tous les États membres de l'UE, y compris l'Espagne, à compter du 17 janvier 2025.

Numérique

Qu’est-ce que DORA ?

Le Digital Operational Resilience Act (DORA — Règlement UE 2022/2554) est un règlement européen directement applicable dans tous les États membres — aucune transposition nationale n’est requise. Il est entré en vigueur le 17 janvier 2025, ce qui en fait l’une des pièces législatives les plus significatives du secteur financier de ces dernières années. DORA fait partie du paquet européen plus large sur la finance numérique et s’applique aux côtés d’autres obligations telles que le RGPD et NIS2, sans les remplacer.

Son objectif central est de garantir que les banques, les assureurs, les sociétés d’investissement, les établissements de paiement et un large éventail d’autres entités financières réglementées puissent résister, répondre et se remettre de tous types de perturbations et menaces liées aux TIC.

Qui est concerné ?

DORA a un champ d’application exceptionnellement large au sein du secteur financier, couvrant :

  • Les établissements de crédit (banques)
  • Les établissements de paiement et de monnaie électronique
  • Les sociétés d’investissement et les gestionnaires de fonds (OPCVM, GFIA)
  • Les entreprises d’assurance et de réassurance
  • Les prestataires de services sur crypto-actifs (PSCA) au titre de MiCA
  • Les contreparties centrales et les dépositaires centraux de titres
  • Les référentiels de transactions et de titrisation
  • Les prestataires tiers de services informatiques critiques (PTSIC) — directement soumis à la surveillance des autorités de surveillance de l’UE

La proportionnalité s’applique : les microentreprises et les entités de plus petite taille bénéficient de régimes simplifiés dans certains domaines.

Les cinq piliers de la conformité DORA

1. Gestion du risque informatique

Les entités doivent maintenir un cadre de gestion du risque informatique complet et documenté couvrant l’identification, la protection, la détection, la réponse et la récupération. Ce cadre doit être examiné par l’organe de direction au moins annuellement et après tout incident informatique majeur.

2. Notification des incidents informatiques

Une obligation de notification en trois étapes s’applique pour les incidents majeurs liés aux TIC :

  • Notification initiale : dans les 4 heures ouvrables suivant la classification
  • Rapport intermédiaire : dans les 72 heures
  • Rapport final : dans le délai d’un mois

La notification est adressée à l’autorité nationale compétente (Banque d’Espagne pour les banques, CNMV pour les sociétés d’investissement, DGSFP pour les assureurs en Espagne). La notification volontaire de cybermenaces significatives est également encouragée.

3. Tests de résilience opérationnelle numérique

Les entités doivent effectuer des tests réguliers des systèmes informatiques, notamment :

  • Tests de base (analyses de vulnérabilité, évaluations réseau) — annuellement pour la plupart des entités
  • Tests de pénétration basés sur les menaces (TLPT) : tous les trois ans pour les entités significatives, coordonnés avec les autorités nationales dans le cadre du référentiel TIBER-EU

4. Gestion des risques tiers

Ce pilier est sans doute le plus exigeant opérationnellement de DORA. Les entités doivent :

  • Tenir un registre complet de tous les prestataires tiers de services informatiques
  • Effectuer des diligences pré-contractuelles sur tous les prestataires
  • Inclure des clauses contractuelles obligatoires (couvrant les niveaux de service, les droits d’audit, la sous-traitance, la continuité des activités, la localisation des données et les stratégies de sortie) dans tous les contrats de services informatiques
  • Identifier les dépendances critiques envers des tiers et gérer le risque de concentration

Les Autorités européennes de surveillance (ABE, AEMF, AEAPP) désignent les Prestataires tiers critiques (PTSIC) qui sont ensuite soumis à une surveillance directe au niveau de l’UE.

5. Partage d’informations et de renseignements

DORA encourage explicitement les entités financières à participer à des dispositifs de partage d’informations sur les cybermenaces. La participation à des organismes de type ISAC (centres de partage et d’analyse d’informations sectorielles) est promue.

Interaction avec NIS2

De nombreuses entités financières relèvent également de NIS2, mais DORA prévaut (lex specialis) pour les obligations de gestion du risque informatique et de notification d’incidents de ces entités dans le secteur financier. NIS2 continue de s’appliquer aux aspects généraux de gouvernance de la cybersécurité non couverts par DORA.

Sanctions en Espagne

La Banque d’Espagne, la CNMV et la DGSFP agissent en tant qu’autorités compétentes pour DORA en Espagne, avec des pouvoirs de sanction alignés sur les cadres sectoriels existants. DORA lui-même impose aux États membres d’établir des sanctions pour les infractions, avec l’attente d’amendes administratives à des niveaux comparables au RGPD.

Comment BMC peut vous aider

Nous conseillons les entités financières et leurs fournisseurs informatiques sur les programmes de conformité DORA, les révisions de contrats pour les clauses DORA obligatoires, la conception du cadre de gestion du risque informatique, les procédures de classification et de notification d’incidents, la construction du registre des tiers et la coordination des programmes TLPT.

Questions fréquentes

Quand DORA est-il devenu applicable en Espagne et qui en assure l'application ?
DORA (Règlement UE 2022/2554) est devenu directement applicable dans tous les États membres de l'UE, y compris l'Espagne, à compter du 17 janvier 2025. Aucune transposition nationale n'était requise. En Espagne, l'application est assurée par la Banque d'Espagne pour les banques, la CNMV pour les sociétés d'investissement et la DGSFP pour les assureurs, avec des pouvoirs de sanction alignés sur les cadres sectoriels existants.
Quelles entités financières espagnoles doivent se conformer à DORA ?
DORA couvre un large éventail d'entités du secteur financier : établissements de crédit, établissements de paiement et de monnaie électronique, sociétés d'investissement, gestionnaires de fonds (OPCVM, GFIA), entreprises d'assurance et de réassurance, prestataires de services sur crypto-actifs au titre de MiCA, contreparties centrales et dépositaires centraux de titres. Les microentreprises bénéficient de régimes simplifiés dans certains domaines.
Quels sont les délais de notification d'incidents DORA pour les entités financières espagnoles ?
DORA impose une obligation de notification en trois étapes pour les incidents informatiques majeurs : une notification initiale dans les 4 heures ouvrables suivant la classification de l'incident comme majeur, un rapport intermédiaire dans les 72 heures et un rapport final dans le délai d'un mois. La notification est adressée à l'autorité espagnole compétente (Banque d'Espagne, CNMV ou DGSFP). La notification volontaire de cybermenaces significatives est également encouragée.
Comment DORA affecte-t-il les contrats avec les fournisseurs de technologie en Espagne ?
Le pilier de gestion des risques tiers de DORA impose aux entités financières d'inclure des clauses contractuelles obligatoires dans tous les contrats de services informatiques, couvrant les niveaux de service, les droits d'audit, les conditions de sous-traitance, les dispositions de continuité des activités, la localisation des données et les stratégies de sortie. Les contrats existants doivent être révisés et mis à jour. Les entités doivent également tenir un registre complet de tous les prestataires informatiques tiers.
Quel est le lien entre DORA et NIS2 pour les sociétés du secteur financier espagnol ?
De nombreuses entités financières espagnoles relèvent à la fois de DORA et de NIS2. DORA prévaut en tant que lex specialis pour les obligations de gestion du risque informatique et de notification d'incidents spécifiques au secteur financier. NIS2 continue de s'appliquer aux aspects généraux de gouvernance de la cybersécurité non couverts par DORA. Les sociétés doivent évaluer leurs obligations au titre des deux cadres.

Service associé

Legal

Découvrez nos services dans ce domaine

Secteurs associés

Technologies & Startups Services Financiers

Termes associés

Directive NIS2 ISO 27001 (Système de management de la sécurité de l'information) Continuité d'activité et Plan de reprise après sinistre (BCP/DRP) Management des risques d'entreprise (ERM)

Articles associés

déc. 2025

Secteur des entreprises familiales : Défis pour 2026

juin 2024

Secteur financier : Panorama de la conformité 2024

mars 2025

Secteur de la santé : Vie privée et IA en 2025

déc. 2024

Secteur logistique : Chaîne d'approvisionnement et conformité 2024

Retour au glossaire

Demandez une consultation personnalisée

Nos experts sont prêts à analyser votre situation et vous proposer des solutions sur mesure.

Consultation gratuite
Appeler Contact