Quelle différence entre DORA et NIS2 ?

DORA est sectoriel (finance) et plus exigeant ; NIS2 est horizontal (tous secteurs critiques). Une banque française est soumise à DORA — qui prime sur NIS2 sur les sujets couverts. Les deux convergent sur les principes (gestion du risque ICT, notification d'incident, gestion des tiers), mais DORA pousse plus loin sur la résilience (TLPT, plan de sortie hyperscaler).

Qu'est-ce qu'un TLPT et qui le subit ?

TLPT (Threat-Led Penetration Testing) est un test de pénétration mené dans des conditions reproduisant une attaque réelle, par un prestataire certifié, sans notification des équipes blue team. Les entités les plus significatives (banques systémiques, banques privées de plus de 30 Md€, principales sociétés de gestion) doivent en conduire un avant fin 2027.

Mon SaaS bancaire est-il classé CTPP ?

Pas automatiquement. Les CTPP sont désignés par les ESAs sur des critères de criticité agrégée (combien de banques utilisent le service, quelle exposition). Les hyperscalers (AWS, Microsoft, Google) sont quasi-certainement classés CTPP. Pour un SaaS de niche, la désignation reste rare mais possible si plusieurs acteurs critiques en dépendent.

Le plan de sortie hyperscaler doit-il être testé ?

Oui — DORA demande un plan « crédible », et la crédibilité passe par le test. Très peu de banques ont effectivement testé un scénario de sortie d'AWS ou d'Azure. C'est un chantier majeur pour 2026-2028, notamment pour les acteurs très dépendants d'un seul cloud.

ApplicableApplication : 2025-01-17

DORA

Digital Operational Resilience Act — Règlement (UE) 2022/2554

Règlement européen sur la résilience opérationnelle numérique du secteur financier. Applicable depuis le 17 janvier 2025, avec TLPT en 2026.

Secteurs concernés

01 · Qu'est-ce que c'est ?

DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est le cadre européen de résilience opérationnelle numérique pour le secteur financier. Adopté en décembre 2022, applicable depuis le 17 janvier 2025, il harmonise les exigences sur la gestion du risque ICT (Information & Communications Technology) pour les banques, assurances, sociétés de gestion, prestataires de services de paiement, et plus largement toute entité financière régulée.

Le règlement repose sur cinq piliers : gouvernance et gestion du risque ICT, gestion et reporting des incidents, tests de résilience opérationnelle (incluant les TLPT — Threat-Led Penetration Testing), gestion du risque tiers (CTPP, Critical Third-Party Providers), et partage d'informations sur les menaces.

02 · Qui est concerné ?

Toutes les entités financières européennes régulées sont concernées :

Établissements de crédit (banques) et établissements de paiement.
Entreprises d'investissement et sociétés de gestion d'OPCVM/FIA.
Entreprises d'assurance et de réassurance.
Plateformes de négociation, dépositaires centraux, contreparties centrales.
Prestataires de services sur crypto-actifs (CASP au sens MiCA).
Critical ICT Third-Party Providers (CTPP) : hyperscalers, datacenters, prestataires SaaS critiques utilisés par les entités financières — supervisés directement par les ESAs.

03 · Calendrier d'application

Applicable depuis le 17 janvier 2025. Tests de pénétration TLPT sur les acteurs identifiés à conduire avant fin 2027.

17 janvier 2025 : entrée en application.
Premier semestre 2026 : publication par l'ACPR des listes des entités françaises soumises aux TLPT.
Avant fin 2027 : conduite du premier TLPT par les acteurs concernés.
2026-2028 : montée en charge des contrôles ACPR/AMF/EIOPA et désignation progressive des CTPP par les ESAs.

04 · Sanctions

DORA renvoie aux régimes de sanctions nationaux des autorités sectorielles (ACPR pour les banques et assurances, AMF pour les sociétés de gestion). Les sanctions classiques s'appliquent : amendes administratives, injonctions, retrait d'agrément.

Pour les CTPP, les ESAs disposent de pouvoirs spécifiques : demandes d'information, inspections sur site, recommandations contraignantes, et — en dernier ressort — suspension de l'utilisation par les entités financières.

05 · Comment s'y conformer

Quatre capacités logicielles structurantes :

Registre des prestataires ICT avec classification critique/non-critique, contrats DORA-conformes (droit d'audit, plan de sortie), certifications associées.
Workflow d'incident avec notification ACPR sous 4h pour les incidents majeurs, rapport intermédiaire 72h, rapport final 1 mois.
Inventaire des fonctions critiques avec dépendances (systèmes, équipes, prestataires) — base de scope pour les TLPT.
Plan de sortie des prestataires critiques documenté ET testé périodiquement (notamment pour les hyperscalers).

06 · Questions fréquentes

Quelle différence entre DORA et NIS2 ?: DORA est sectoriel (finance) et plus exigeant ; NIS2 est horizontal (tous secteurs critiques). Une banque française est soumise à DORA — qui prime sur NIS2 sur les sujets couverts. Les deux convergent sur les principes (gestion du risque ICT, notification d'incident, gestion des tiers), mais DORA pousse plus loin sur la résilience (TLPT, plan de sortie hyperscaler).
Qu'est-ce qu'un TLPT et qui le subit ?: TLPT (Threat-Led Penetration Testing) est un test de pénétration mené dans des conditions reproduisant une attaque réelle, par un prestataire certifié, sans notification des équipes blue team. Les entités les plus significatives (banques systémiques, banques privées de plus de 30 Md€, principales sociétés de gestion) doivent en conduire un avant fin 2027.
Mon SaaS bancaire est-il classé CTPP ?: Pas automatiquement. Les CTPP sont désignés par les ESAs sur des critères de criticité agrégée (combien de banques utilisent le service, quelle exposition). Les hyperscalers (AWS, Microsoft, Google) sont quasi-certainement classés CTPP. Pour un SaaS de niche, la désignation reste rare mais possible si plusieurs acteurs critiques en dépendent.
Le plan de sortie hyperscaler doit-il être testé ?: Oui — DORA demande un plan « crédible », et la crédibilité passe par le test. Très peu de banques ont effectivement testé un scénario de sortie d'AWS ou d'Azure. C'est un chantier majeur pour 2026-2028, notamment pour les acteurs très dépendants d'un seul cloud.

Sources officielles

Réglementations connexes

Network and Information Security 2 — Directive (UE) 2022/2555
Applicable2024-10-17
NIS2
Network and Information Security 2 — Directive (UE) 2022/2555
Directive cybersécurité européenne applicable depuis octobre 2024. Élargit le périmètre aux SaaS, datacenters, transporteurs, alimentaire.
- SaaS
- Secteur bancaire
- Clinique & Santé
- +3
Décrypter →

Articles d'analyse

DORA banque privée : le vrai test arrive avec les tests de résilience 2026
Secteur bancaire1 avril 2026
DORA banque privée : le vrai test arrive avec les tests de résilience 2026
Applicable depuis janvier 2025, DORA enclenche en 2026 ses obligations les plus dures : tests de résilience opérationnelle TLPT et registre des prestataires critiques.

Un projet logiciel DORA ?

Quand DORA demande un logiciel sur-mesure, nous le livrons en quelques semaines, 3× moins cher qu'un éditeur historique.

Décrire votre projet