DORA (règlement UE 2022/2554) s'applique depuis janvier 2025 aux banques, fintech, assureurs et à leurs prestataires TIC critiques du secteur financier.

À qui DORA s'applique-t-il en Espagne ?

Trois blocs. Entités financières : banques commerciales et d'investissement, sociétés de gestion de fonds, assureurs, réassureurs, EME (établissements de monnaie électronique), plateformes de financement participatif, fintech agréées. Prestataires TIC critiques : ceux que les ESA désignent comme critiques (hyperscalers cloud, plateformes de paiement, fournisseurs SaaS sectoriels). Auditeurs TIC du secteur : avec des exigences de compétence spécifiques.

Que doit faire une entité pour se conformer à DORA ?

Cinq piliers. (1) Un cadre documenté de gestion du risque TIC, approuvé par l'organe de direction. (2) Un système de gestion et de notification des incidents TIC graves au superviseur dans un délai de 4 heures. (3) Un programme de tests de résilience opérationnelle : test d'intrusion, red team au moins tous les 3 ans. (4) Une gestion spécifique du risque lié aux tiers TIC (contrats, due diligence, surveillance continue). (5) Le partage d'informations sur les cybermenaces avec les autorités.

Quelle est la différence entre DORA et NIS2 ?

DORA est spécifique au secteur financier et à ses prestataires TIC. NIS2 est transversale aux secteurs critiques (énergie, eau, santé, alimentation, etc.). Une entité financière est soumise à DORA (lex specialis) et NON à NIS2 pour le même domaine. Une entreprise de fabrication, d'eau ou d'énergie n'est soumise qu'à NIS2. Il existe des zones de recoupement contrôlé entre les deux.

Cas réel : un EME espagnol prépare DORA contre la montre

Un établissement de monnaie électronique (EME) ayant son siège à Madrid, comptant 95 salariés et un volume traité de 380 M EUR par an, a constaté en juillet 2024 que son cadre de gestion du risque TIC ne résisterait pas à une inspection DORA. Son système de notification des incidents reposait sur des feuilles de calcul, il n'avait pas de contrats de prestataires TIC alignés sur le règlement et n'avait jamais exécuté de red team. Le conseil d'administration a fait du projet une priorité réglementaire.

Le budget de mise en conformité s'est arrêté à 168 000 EUR, répartis ainsi : 54 000 EUR en conseil sur le cadre de risque TIC et les politiques ; 38 000 EUR pour une plateforme de gestion et de notification des incidents intégrée au superviseur ; 41 000 EUR en tests de résilience (un test d'intrusion annuel plus un TLPT — Threat-Led Penetration Testing — à périmètre réduit) ; 22 000 EUR pour la renégociation de 14 contrats avec des prestataires TIC, dont deux hyperscalers cloud ; et 13 000 EUR pour la formation de l'organe de direction et du personnel clé. Le projet a été mené en 6 mois, avec la mise en production du cadre en décembre 2024, juste avant la date d'application.

Le retour ne s'est pas limité à éviter les sanctions. L'entité a utilisé la certification de sa résilience comme argument commercial dans deux appels d'offres avec de grands clients corporate qui exigeaient des prestataires de paiement DORA-ready, et elle a réduit sa prime de cyber-assurance de 11 % en démontrant des tests de résilience documentés. Le coût de l'inaction a été estimé à une exposition à des sanctions pouvant atteindre 1,9 M EUR, plus la perte de la licence d'exploitation dans le pire des scénarios.

Les 5 piliers de DORA : échéances et entités concernées

Le règlement UE 2022/2554 s'articule en cinq blocs d'obligations. Ce tableau résume ce que chaque pilier exige, son échéance de référence et les entités qu'il impacte le plus fortement.

Pilier DORA Exigence clé Échéance / fréquence Entités les plus concernées
1. Gestion du risque TICCadre documenté approuvé par l'organe de direction ; cartographie des fonctions critiquesEn vigueur depuis le 17 janv. 2025 ; revue annuelleToutes les entités financières
2. Gestion des incidents TICClassification, notification initiale au superviseur et rapports intermédiaire et finalNotification initiale : 4 heures après la classification comme graveBanques, EME, plateformes de paiement
3. Tests de résilienceTests d'intrusion et scans périodiques ; TLPT pour les entités significativesTests de base annuels ; TLPT tous les 3 ansEntités significatives désignées
4. Risque lié aux tiers TICRegistre d'information, contrats avec clauses minimales, due diligence et surveillanceRegistre d'information : rapport annuel au superviseurEntités dépendantes du cloud et du SaaS
5. Partage d'informationsÉchange volontaire de renseignements sur les cybermenacesVolontaire et continuL'ensemble du secteur financier

Les prestataires TIC désignés comme critiques (CTPP) par les autorités européennes de surveillance sont en outre soumis à un régime de surveillance directe, avec un superviseur principal (lead overseer) attribué et le pouvoir d'imposer des astreintes pouvant atteindre 1 % de leur chiffre d'affaires moyen journalier.

Checklist de mise en conformité DORA

Feuille de route en 12 étapes pour une entité financière partant de zéro ou en conformité partielle :

  1. Confirmer le périmètre : vérifier si l'entité est financière, prestataire TIC ou auditeur, et cartographier les fonctions essentielles ou importantes.
  2. Désigner un responsable de la résilience opérationnelle numérique et affecter la responsabilité à l'organe de direction.
  3. Réaliser une analyse d'écarts (gap analysis) au regard des cinq piliers et des normes techniques de réglementation (RTS) associées.
  4. Documenter et approuver le cadre de gestion du risque TIC, y compris la politique de continuité d'activité et de reprise.
  5. Inventorier tous les actifs TIC et classer ceux qui supportent des fonctions critiques ou importantes.
  6. Mettre en place un processus de gestion des incidents avec des critères de classification de gravité alignés sur les seuils DORA.
  7. Configurer le canal et les modèles de notification au superviseur pour respecter le délai de 4 heures en cas d'incident grave.
  8. Constituer le registre d'information des prestataires TIC et le déclarer chaque année à l'autorité compétente.
  9. Renégocier les contrats TIC pour y inclure les clauses minimales obligatoires : accès, audit, sous-traitance, sortie.
  10. Planifier le programme de tests de résilience : test d'intrusion annuel et, le cas échéant, TLPT tous les trois ans.
  11. Former l'organe de direction et le personnel clé au risque TIC et à la résilience.
  12. Établir la revue périodique du cadre et le cycle d'amélioration continue avec l'audit interne.

5 erreurs fréquentes dans la mise en œuvre de DORA

Sources officielles

Rédigé par Ángel Ortega Castro · consultant indépendant en stratégie, qualité et digitalisation pour les PME.