DORA — Digital Operational Resilience Act — est le règlement européen qui impose un cadre unifié de résilience opérationnelle numérique au secteur financier. Pleinement applicable depuis le 17 janvier 2025, il oblige banques, assurances, gestionnaires d'actifs, plateformes de paiement et prestataires TIC critiques à démontrer qu'ils peuvent prévenir, résister et se relever des incidents technologiques. Ce guide opérationnel résume le champ d'application, les obligations et les différences avec NIS2.
À qui DORA s'applique-t-il en Espagne ?
Le règlement couvre vingt catégories d'entités financières et leurs prestataires TIC critiques. En Espagne, sont concernés notamment :
- Établissements de crédit supervisés par la Banque d'Espagne (banques, coopératives de crédit, EDE).
- Entreprises d'assurance et de réassurance sous supervision DGSFP.
- Sociétés de gestion de fonds et entreprises de services d'investissement sous supervision CNMV.
- Plateformes de paiement et entités de monnaie électronique.
- Prestataires de services sur cryptoactifs (CASP) sous MiCA.
- Prestataires TIC tiers déclarés critiques par l'ESA (EBA, ESMA, EIOPA).
Que doit faire une entité pour se conformer à DORA ?
DORA structure ses obligations en cinq piliers opérationnels.
1. Gestion du risque TIC
Cadre formel de gestion du risque TIC approuvé par l'organe de direction, avec inventaire des actifs, classification de criticité, identification des dépendances et mise à jour annuelle.
2. Gestion, classification et notification des incidents TIC
Procédures de détection, classification (mineur, significatif, majeur) et notification au régulateur dans les délais imposés. Notification initiale dans les 4 heures suivant la classification comme majeur, rapport intermédiaire à 72 heures, rapport final à un mois.
3. Tests de résilience opérationnelle numérique
Programme de tests proportionné à la taille et au risque : tests de vulnérabilité, scénarios de continuité, et pour les entités significatives, TLPT (Threat-Led Penetration Testing) tous les trois ans.
4. Gestion du risque TIC tiers
Registre centralisé de tous les contrats TIC avec données obligatoires, due diligence avant souscription, clauses contractuelles minimales (audit, sortie, sous-traitance, sécurité), notification au superviseur des contrats portant sur des fonctions critiques.
5. Partage d'informations et collaboration
Mécanismes volontaires de partage de renseignements sur les menaces entre entités financières et avec les autorités compétentes.
Quelle est la différence entre DORA et NIS2 ?
DORA et NIS2 partagent un objectif — la résilience opérationnelle — mais opèrent à des niveaux différents. NIS2 est une directive horizontale qui couvre les secteurs critiques en général : énergie, transport, santé, eau, infrastructures numériques, fournisseurs cloud, administration publique. DORA est un règlement vertical spécifique au secteur financier.
En cas de conflit, DORA prévaut sur NIS2 pour les entités financières en vertu du principe de lex specialis. Une banque sera principalement régie par DORA ; un fournisseur cloud qui sert à la fois des banques et des hôpitaux devra appliquer DORA dans sa relation avec les banques et NIS2 dans son périmètre général.
Questions fréquentes
- Quand DORA s'applique-t-il ?
- DORA s'applique pleinement depuis le 17 janvier 2025 à toutes les entités du secteur financier de l'UE et à leurs prestataires TIC critiques.
- À qui DORA s'applique-t-il en Espagne ?
- Banques, assurances, gestionnaires de fonds, plateformes de paiement, services d'investissement, plateformes de cryptoactifs et prestataires TIC critiques sous supervision Banco de España, CNMV ou DGSFP.
- Quelle est la différence entre DORA et NIS2 ?
- DORA est spécifique au secteur financier ; NIS2 couvre les secteurs critiques en général (énergie, transport, santé, eau, numérique). Une entité financière peut être soumise aux deux.
- Quelles sanctions prévoit DORA ?
- Sanctions administratives selon la législation de chaque État membre, jusqu'à 1 % du chiffre d'affaires annuel mondial dans les cas graves, plus des mesures de surveillance renforcée.
- Que doit faire un prestataire TIC ?
- Adapter ses contrats, ses indicateurs de service, ses tests de résilience et ses procédures de notification d'incident pour répondre aux exigences DORA de ses clients financiers.
Sources officielles
- Règlement UE 2022/2554 du Parlement européen et du Conseil (DORA).
- Normes techniques de régulation (RTS) et d'exécution (ITS) publiées par les ESA.
- Directive UE 2022/2555 (NIS2) et transposition espagnole en cours.
- Banque d'Espagne, CNMV, DGSFP — guides sectoriels d'application DORA.
Foire aux questions
Comment cela s'applique a ma PME ?
Cela s'applique si vous traitez des clients ou des donnees espagnols; le cadre est obligatoire au-dela de seuils que nous resumons dans le tableau.
Quel est le cout en 2026 ?
Fourchettes indicatives pour les PME de 10-50 salaries : 2 500-12 000 EUR pour la documentation + honoraires d'audit AENOR / BV / SGS / LRQA.
Quelle reglementation espagnole s'applique ?
BOE reference RD 311/2022 (ENS), Reglement UE 2016/679 (RGPD), LOPDGDD, NIS2, DORA et le reglement IA 2024/1689 selon le perimetre.
Combien de temps prend la mise en oeuvre ?
En moyenne 4-7 mois pour une seule norme ISO. Un SGI integre (9001+14001+27001) prend habituellement 8-12 mois.
Peut-on cofinancer via Kit Digital ou Kit Consulting ?
Oui, Kit Consulting 2026 couvre jusqu'a 24 000 EUR d'heures-conseil; Kit Digital couvre les outils (CRM, ERP, cybersecurite) jusqu'a 29 000 EUR.