Calendrier DORA : dates clés et jalons
Comprendre le calendrier DORA est essentiel pour la planification de la conformité. Le Digital Operational Resilience Act est pleinement applicable depuis le 17 janvier 2025, mais des jalons importants continuent jusqu'en 2026 et au-delà.
Ce guide couvre les dates clés pour la conformité DORA 2025, de l'adoption du règlement jusqu'aux obligations continues.
Points clés
| Point | Résumé |
|---|---|
| Applicable depuis janvier 2025 | DORA est pleinement applicable depuis le 17 janvier 2025 |
| Registre d'informations | Première soumission prévue début 2026 |
| Échéances TLPT | Les entités désignées doivent compléter le premier cycle TLPT d'ici 2027 |
| Obligations continues | Les revues annuelles, tests et rapports continuent indéfiniment |
| Normes techniques | Les normes techniques des AES continuent d'être adoptées |
Réponse rapide : DORA a été adopté en décembre 2022, est entré en vigueur en janvier 2023, et est devenu pleinement applicable le 17 janvier 2025. Les entités financières devraient maintenant avoir leurs cadres de gestion des risques TIC, processus de signalement des incidents et arrangements de gestion des risques tiers en place. Les prochaines échéances clés incluent la première soumission du Registre d'informations début 2026 et l'achèvement des premiers cycles TLPT pour les entités désignées.
Calendrier historique
Adoption et entrée en vigueur
| Date | Jalon |
|---|---|
| Septembre 2020 | La Commission européenne publie la proposition DORA |
| Novembre 2022 | Le Parlement européen et le Conseil parviennent à un accord |
| 14 décembre 2022 | DORA formellement adopté |
| 27 décembre 2022 | Publié au Journal officiel |
| 16 janvier 2023 | DORA entre en vigueur |
| 17 janvier 2023 | La période de mise en œuvre de deux ans commence |
Développement des normes techniques
| Date | Jalon |
|---|---|
| Janvier 2024 | Première série de normes techniques des AES publiée |
| Juillet 2024 | Deuxième série de normes techniques publiée |
| Novembre 2024 | Règlements d'exécution supplémentaires adoptés |
| 2025-2026 | Poursuite du développement des normes techniques |
Date d'application : 17 janvier 2025
Ce qui est devenu applicable
Depuis le 17 janvier 2025, les entités financières doivent avoir en place :
| Exigence | Statut |
|---|---|
| Cadre de gestion des risques TIC | Opérationnel |
| Arrangements de gouvernance | Responsabilité de l'organe de direction établie |
| Classification des incidents | Critères et processus définis |
| Signalement des incidents | Capacité de signaler dans les délais |
| Gestion des risques tiers | Politiques et processus opérationnels |
| Programme de tests | Programme établi (proportionné) |
Considérations de transition
Les régulateurs ont indiqué que 2025 est une année de transition :
- Focus sur la démonstration d'efforts de conformité de bonne foi
- Une non-conformité significative peut attirer une action anticipée
- L'application complète devrait s'intensifier avec le temps
DORA 2025 : jalons à venir
Registre d'informations
| Date | Jalon |
|---|---|
| Tout au long de 2025 | Les entités financières maintiennent et mettent à jour le RoI |
| T1 2026 | Première fenêtre de soumission (environ 16 février - 13 mars 2026) |
| 31 mars 2026 | Les autorités compétentes soumettent aux AES |
TLPT pour les entités désignées
| Date | Jalon |
|---|---|
| 2025 | Les autorités compétentes désignent les entités pour le TLPT |
| 2025-2027 | Les entités désignées planifient et exécutent le premier TLPT |
| D'ici 2028 | Achèvement du premier cycle TLPT pour les entités initialement désignées |
| Continu | TLPT tous les 3 ans par la suite |
Mise en œuvre des normes techniques
| Date | Jalon |
|---|---|
| 2025 | Poursuite de l'adoption des normes techniques restantes |
| 2025-2026 | Mise en œuvre des exigences détaillées |
| Continu | Mises à jour à mesure que les normes évoluent |
Obligations de conformité continue
Exigences annuelles
| Obligation | Fréquence |
|---|---|
| Revue du cadre | Au moins annuellement |
| Revue des politiques | Au moins annuellement |
| Évaluation des risques | Au moins annuellement |
| Programme de tests | Couverture annuelle des systèmes critiques |
| Revue des tiers | Surveillance régulière, revue complète annuelle |
| Formation | Formation continue du personnel et de la direction |
Exigences périodiques
| Obligation | Fréquence |
|---|---|
| TLPT | Tous les 3 ans (entités désignées) |
| Tests de continuité d'activité | Régulièrement |
| Tests de sauvegarde | Régulièrement |
| Revue de stratégie de sortie | Périodiquement |
Exigences déclenchées par événement
| Déclencheur | Obligation |
|---|---|
| Incident majeur | Signaler dans les délais, revue post-incident |
| Changement significatif | Mise à jour du cadre, réévaluation des risques |
| Nouvel arrangement tiers | Due diligence, revue du contrat, mise à jour du RoI |
| Incident chez un prestataire | Évaluer l'impact, mettre à jour les arrangements |
Planifier votre calendrier
Si vous démarrez maintenant
| Phase | Période | Activités |
|---|---|---|
| Immédiat | Maintenant | Gouvernance, signalement des incidents, documentation de base |
| Court terme | T1-T2 2025 | Compléter le cadre de risques TIC, contrats tiers |
| Moyen terme | T3-T4 2025 | Programme de tests, préparation du RoI |
| 2026 | T1 2026 | Soumission du RoI, conformité continue |
Conseils de priorisation
| Priorité | Justification |
|---|---|
| Signalement des incidents | Les obligations s'appliquent immédiatement ; les défaillances sont visibles |
| Gouvernance | Fondation pour les autres exigences |
| Risques tiers | Échéance de soumission du RoI approchant |
| Cadre de risques TIC | Exigence fondamentale ; permet les autres activités |
| Tests | S'appuie sur le cadre établi |
Évolutions réglementaires à surveiller
Normes techniques
Surveillez :
- Les normes techniques supplémentaires des AES
- Les amendements aux normes existantes
- Les publications d'orientations et Q&R
- Les interprétations des autorités nationales
Désignation CTPP
Surveillez :
- La finalisation des critères de désignation
- Les premières désignations de prestataires tiers TIC critiques
- L'opérationnalisation du cadre de surveillance
Tendances d'application
Suivez :
- Les premières actions d'application
- Les priorités de surveillance
- Les conclusions communes des examens
Questions fréquentes
Quand DORA devient-il obligatoire ?
DORA est devenu obligatoire le 17 janvier 2025 pour toutes les entités financières concernées. Depuis cette date, les organisations doivent avoir leurs cadres de gestion des risques TIC, processus de signalement des incidents et arrangements de risques tiers en place. Bien que les régulateurs aient indiqué que 2025 est une année de transition, les entités significativement en retard de conformité peuvent faire face à une action anticipée.
Nous ne sommes pas encore pleinement conformes. Que devons-nous faire ?
Priorisez les écarts à plus haut risque. Concentrez-vous sur le signalement des incidents (conséquences immédiates en cas de défaillance), la gouvernance (permet les autres activités), et les risques tiers (échéance du RoI approchant). Documentez votre plan de remédiation et démontrez les progrès.
Quand le Registre d'informations est-il dû ?
Les premières soumissions sont attendues début 2026 (fenêtre février-mars). Les dates exactes sont annoncées par les autorités compétentes. Vous devriez construire et maintenir le registre maintenant.
Comment savoir si nous serons désignés pour le TLPT ?
Les autorités compétentes désignent les entités selon l'importance systémique, le profil de risque et l'impact potentiel sur la stabilité financière. Si vous pensez être susceptible d'être désigné, engagez-vous proactivement avec votre superviseur.
Que se passe-t-il si nous manquons une échéance ?
La non-conformité peut entraîner une action de surveillance, incluant des ordres de remédiation, une surveillance renforcée, et potentiellement des sanctions. L'identification précoce des problèmes et la communication proactive avec les autorités sont conseillées.
Les exigences vont-elles changer ?
Les exigences DORA peuvent évoluer via les mises à jour des normes techniques, les orientations réglementaires et les amendements potentiels. Maintenez une veille des évolutions réglementaires et intégrez de la flexibilité dans votre approche de conformité.
Comment Bastion peut vous aider
Bastion accompagne les entités financières pour respecter les délais DORA :
- Évaluation de l'état actuel : Évaluer le statut de conformité par rapport aux échéances
- Développement de la feuille de route : Plan de mise en œuvre priorisé aligné sur les jalons
- Support à la mise en œuvre : Assistance pratique pour respecter les échéances
- Conformité continue : Support continu pour les exigences évolutives
- Veille réglementaire : Suivi des évolutions affectant votre conformité
Prêt à aligner votre conformité sur les délais DORA ? Parlez à notre équipe
Sources
- Publication DORA au Journal officiel - Texte du règlement incluant les dates d'application
- Calendrier DORA des AES - Normes techniques et dates de mise en œuvre
- Informations DORA de l'EIOPA - Calendriers de surveillance et orientations