RÈGLEMENT (UE) 2022/2554 - APPLICABLE DEPUIS LE 17 JANVIER 2025

Votre conformité DORA,
documentée et défendable

Le règlement européen sur la résilience opérationnelle numérique du secteur financier (DORA) impose aux entités financières - et par ricochet à leurs prestataires TIC - un registre exhaustif des contrats, des clauses contractuelles précises et des preuves d'audit datées. SYAGA DORA-Express vous aide à répondre à ces exigences sans improviser, que vous soyez entité financière ou prestataire.

17/01
Applicable depuis 2025
21
Catégories d'entités visées (art. 2)
4h
Délai de notification d'un incident majeur
19
Prestataires TIC critiques déjà désignés

Le contexte réglementaire

DORA est un règlement, pas une directive : il s'applique directement dans tous les États membres, sans loi de transposition nationale à attendre.

DORA s'applique directement depuis le 17 janvier 2025

Règlement (UE) 2022/2554 du 14 décembre 2022, publié au JOUE le 27 décembre 2022, entré en vigueur le 16 janvier 2023 et applicable depuis le 17 janvier 2025. Aucune transposition nationale requise : il est directement opposable.

📋

Un registre TIC exhaustif est exigé (art. 28 §3)

Chaque entité financière doit tenir à jour et transmettre annuellement aux autorités un registre complet de ses contrats TIC : prestataire, nature du service, criticité de la fonction, pays d'hébergement des données.

📄

Vos contrats doivent contenir des clauses précises (art. 30)

Droits d'audit et d'inspection, garanties de disponibilité et d'intégrité des données, plans de sortie testés, notification d'incident sans délai. Ces clauses remontent de votre client financier vers vous si vous êtes son prestataire TIC.

📧

Le questionnaire due diligence est déjà dans votre boîte mail

Avant de signer ou de renouveler un contrat, une banque, un assureur ou un investisseur envoie un questionnaire cyber (gouvernance, MFA, EDR, chiffrement, sensibilisation). Y répondre sans preuve documentée fait perdre le contrat.

Le déclencheur du 18 novembre 2025

Vos prestataires cloud viennent d'être officiellement désignés « critiques »

Le 18-19 novembre 2025, les autorités européennes de supervision (EBA, ESMA, EIOPA) ont publié la première liste officielle des prestataires TIC critiques au titre de l'article 32 de DORA. Parmi les noms confirmés par les communiqués officiels : AWS EMEA Sarl, Microsoft Ireland Operations Limited, Google Cloud, Orange SA, Capgemini SE (et 14 autres prestataires non nominativement confirmés dans nos sources).

Conséquence concrète : si vos services critiques reposent sur l'un de ces prestataires, votre entité financière cliente doit désormais le documenter dans son registre TIC - et peut vous interroger sur votre propre chaîne de sous-traitance.

Source : communiqués officiels EIOPA et ESMA du 18-19 novembre 2025 (eiopa.europa.eu, esma.europa.eu).

Notre réponse : DORA-Express

Un accompagnement structuré en 5 étapes pour documenter votre conformité - sans promettre ce que ni un outil, ni un cabinet, ne peut certifier à votre place.

1
Étape 1 - Qualification

Identifions votre exposition réelle

Êtes-vous une entité financière directement soumise (une des 21 catégories de l'article 2), ou un prestataire TIC visé indirectement via les clauses contractuelles de vos clients financiers (article 30) ? Le périmètre exact conditionne tout le reste.

2
Étape 2 - Due diligence

Réponse à votre questionnaire cyber

Nous répondons à votre questionnaire de due diligence banque, investisseur ou assureur (gouvernance, MFA, EDR, chiffrement, sensibilisation...) en nous appuyant sur un audit technique de votre tenant Microsoft 365 comme preuve datée et vérifiable.

3
Étape 3 - Registre et contrats

Registre TIC et clauses article 30

Nous vous aidons à structurer votre registre des contrats TIC (art. 28 §3) et à vérifier ou intégrer les clauses contractuelles minimales et renforcées de l'article 30 dans vos contrats prestataires.

4
Étape 4 - Continuité et résilience

PRA/PCA profil sectoriel Finance

Notre PRA/PCA Suite propose un profil sectoriel Finance (DORA, PSD2, ACPR) qui couvre les exigences de tests de résilience opérationnelle du chapitre IV de DORA, aligné sur ISO 22301.

5
Étape 5 - Restitution

Un dossier de conformité documenté

Remise à votre direction, votre RSSI ou votre DAF d'un dossier consolidé, avec les points précis à faire trancher par votre conseil juridique avant toute communication aux autorités.

Ce que vous recevez

Des livrables concrets, sourcés, sans promesse de certification que personne ne peut garantir

📝

Réponses due diligence cyber

10 questions type due diligence banque / M&A, documentées et sourcées (ILPA DDQ, CSA CAIQ, questionnaires assureurs cyber).

  • Politique de sécurité / référentiel reconnu
  • MFA, moindre privilège, comptes à privilèges
  • Licence M365, EDR / threat hunting
  • Protocoles legacy, chiffrement disques
  • Programme de sensibilisation
📄

Fiche de référence DORA

Synthèse sourcée du règlement (UE) 2022/2554.

  • Périmètre : 21 catégories d'entités (art. 2)
  • 5 domaines d'obligations
  • Délais de notification (4h / 72h / 1 mois)
  • Articulation avec NIS2 (lex specialis)
📋

Registre TIC (canevas art. 28 §3)

Structure du registre exhaustif exigé par les autorités.

  • Prestataire et nature du service
  • Criticité de la fonction supportée
  • Pays d'hébergement des données
  • Format prêt pour transmission annuelle
🔐

Clauses contractuelles (canevas art. 30)

À intégrer ou vérifier dans vos contrats prestataires TIC.

  • Clauses minimales (tous contrats)
  • Clauses renforcées (fonctions critiques)
  • Droits d'audit et d'inspection
  • Plans de sortie et extractabilité des données
🏗

PRA/PCA profil Finance

Plan de continuité et reprise d'activité, profil sectoriel dédié.

  • Couverture chapitre IV DORA (tests de résilience)
  • Aligné ISO 22301
  • Profil sectoriel DORA / PSD2 / ACPR
  • Issu de notre PRA/PCA Suite existante
💾

Dossier de conformité documenté

Formats PDF et DOCX, consolidant l'ensemble des livrables.

  • Prêt pour votre direction / RSSI / DAF
  • Points à faire valider par votre avocat signalés
  • Base pour vos échanges avec ACPR / AMF
  • Éditable pour mise à jour annuelle

Un exemple : le questionnaire due diligence banque

Extrait des 10 questions que nous documentons pour vous, avec la source de chaque question

Thème Question Source
Gouvernance Votre politique de sécurité s'appuie-t-elle sur un référentiel reconnu (NIST, ISO 27001) ? ILPA DDQ 2.0
Audit tiers Réalisez-vous un audit annuel indépendant et des tests d'intrusion ? CSA CAIQ v4
Plan incident Existe-t-il un plan formel de réponse à incident, documenté et maintenu ? CSA CAIQ v4 / ILPA DDQ 2.0
MFA Pour quels services imposez-vous l'authentification multifacteur ? Travelers - MFA Supplement
Comptes à privilèges Les accès suivent-ils le principe du moindre privilège, revus périodiquement ? CSA CAIQ v4 IAM
Messagerie Quelle licence M365 utilisez-vous ? Defender / threat hunting avancé actif ? vCSO.ai Cyber DD Checklist
Chiffrement Les disques des terminaux sont-ils intégralement chiffrés ? Google VSAQ
Formation Un programme de sensibilisation sécurité est-il établi pour tous les collaborateurs ? CSA CAIQ v4 HRS

Textes et référentiels couverts

Chaque livrable indique explicitement ce qu'il couvre - et ce qu'il ne couvre pas

DO

DORA (Règlement UE 2022/2554)

Registre TIC (art. 28), clauses contractuelles (art. 30), délais de notification (art. 19), référence aux prestataires TIC critiques désignés (art. 32).

N2

NIS2 - articulation avec DORA

DORA est une lex specialis vis-à-vis de NIS2 pour le secteur financier : les entités concernées appliquent DORA plutôt que les mesures NIS2 équivalentes.

ISO

ISO 22301 - continuité d'activité

Le profil PRA/PCA Finance s'aligne sur ISO 22301, référentiel de management de la continuité d'activité utilisé en complément de DORA.

RG

RGPD - notification distincte

La notification d'incident DORA (ACPR/AMF) est distincte de la notification RGPD (CNIL) en cas de violation de données personnelles : les deux peuvent être requises simultanément.

Un accompagnement adapté à votre situation

Chaque dossier DORA est différent selon votre statut - devis personnalisé dans tous les cas

Prestataire TIC

Vous fournissez des services à une ou plusieurs entités financières

Devis
selon périmètre
  • Réponse due diligence cyber
  • Registre TIC côté prestataire
  • Relecture clauses article 30
  • Dossier documenté prêt à transmettre
Demander un devis

Suivi annuel

Mise à jour régulière du dossier (obligations, contrats, registre)

Devis
récurrent
  • Mise à jour du registre TIC
  • Revue annuelle des clauses contractuelles
  • Veille sur les prestataires critiques désignés
  • Support pour vos due diligences clients
Demander un devis

Questions fréquentes

Mon entreprise est-elle une entité financière concernée par DORA ?
L'article 2 de DORA liste 21 catégories d'entités financières : établissements de crédit et de paiement, entreprises d'investissement, prestataires crypto-actifs agréés MiCA, assurance et réassurance, gestion de fonds, agences de notation, et d'autres. Les microentreprises (moins de 10 salariés, CA ou bilan inférieur à 2 M€) bénéficient d'une proportionnalité sur certaines obligations, mais ne sont pas exclues totalement. À vérifier au cas par cas avec un conseil juridique.
Je ne suis pas une banque, pourquoi DORA me concerne quand même ?
Si vous fournissez des services TIC (informatique, cloud, logiciel, hébergement) à une entité financière, l'article 30 impose à votre client de vous inscrire dans son registre et de vous imposer contractuellement des clauses précises : droits d'audit, notification d'incident sans délai, plans de sortie. Ces obligations passent par le contrat de votre client, pas par une supervision directe de l'autorité - sauf si vous êtes vous-même désigné prestataire TIC critique (article 31).
Quels sont les délais de notification d'un incident TIC majeur ?
Article 19 : notification initiale sous 4 heures après la classification comme incident majeur (au maximum 24 heures après la détection), rapport intermédiaire sous 72 heures, rapport final sous 1 mois. Ces notifications sont distinctes d'une éventuelle notification RGPD à la CNIL en cas de violation de données personnelles.
Qu'est-ce qu'un « prestataire TIC critique » ?
Ce sont des prestataires désignés explicitement par les autorités européennes de supervision (EBA, ESMA, EIOPA) selon des critères d'impact systémique, de substituabilité et de dépendance (article 31). La première liste officielle, publiée le 18-19 novembre 2025, compte 19 prestataires. Ils sont soumis à une supervision directe (inspections, reporting étendu) ; les autres prestataires TIC restent encadrés uniquement par les clauses contractuelles de leurs clients financiers.
DORA remplace-t-il NIS2 pour mon secteur ?
Oui pour les entités financières au sens de l'article 2 : DORA constitue une lex specialis par rapport à NIS2 pour le secteur financier. Les 21 catégories visées appliquent DORA à la place des mesures NIS2 équivalentes en matière de gestion des risques et de notification des incidents.
Ce service constitue-t-il un avis juridique ?
Non. DORA-Express est un outil d'accompagnement documentaire, pas un avis juridique. L'assujettissement exact de votre organisation à DORA et la conformité juridique de vos contrats doivent être validés par un avocat spécialisé avant toute décision engageante.

Prêt à documenter votre conformité DORA ?

Contactez-nous pour recevoir un devis personnalisé selon votre statut (entité financière ou prestataire TIC).

DORA-Express est un outil d'accompagnement documentaire et ne constitue pas un avis juridique. L'assujettissement de votre organisation à DORA et la validité juridique de vos contrats et registres doivent être confirmés par un avocat spécialisé.

Veille réglementaire - sources officielles

DORA expliqué simplement, sans jargon juridique. Chaque point ci-dessous renvoie vers le texte officiel qui le confirme.

Qui est concerné ?

DORA s'applique aux acteurs financiers européens : banques, assurances, sociétés d'investissement, plateformes de marché, gestionnaires de fonds, prestataires de paiement... ainsi qu'à leurs prestataires informatiques. Les très petites structures bénéficient de règles allégées.

source officielle (EUR-Lex) ↗

Ce que DORA vous demande concrètement

Le règlement couvre 6 grands sujets : la gestion du risque informatique, la surveillance de vos prestataires extérieurs, des tests réguliers de résistance, la remontée des incidents graves, le partage d'informations sur les menaces, et la surveillance des plus gros prestataires informatiques.

source officielle (EIOPA) ↗

Les dates à retenir

Texte adopté le 14 décembre 2022, publié au Journal officiel de l'UE le 27 décembre 2022 (JO L 333). Entrée en vigueur le 16 janvier 2023. Les obligations sont réellement dues depuis le 17 janvier 2025.

source EUR-Lex ↗ · source ESMA ↗

Vos prestataires informatiques sont aussi surveillés

Les plus gros prestataires informatiques (cloud, hébergement...) jugés « critiques » pour le secteur financier sont désormais contrôlés directement au niveau européen, avec un superviseur chef de file qui peut leur imposer des mesures.

source officielle (EIOPA) ↗

Un signalement d'incident enfin harmonisé

Avant DORA, chaque pays de l'UE avait ses propres règles pour déclarer un incident informatique grave. Désormais, une procédure européenne unique s'applique : les incidents majeurs sont notifiés directement aux autorités compétentes.

source EUR-Lex ↗

Et les sanctions ?

Le texte prévoit que les autorités publient les sanctions administratives qu'elles prononcent. Les montants précis des amendes ne sont pas stabilisés dans les sources consultées à ce jour - à confirmer au fil des précisions officielles.

source EUR-Lex (considérant 97) ↗