10. Mise en conformité DORA
10.1. Pourquoi se mettre en conformité ?
Info
DORA sera obligatoire à partir du 17 janvier 2025, sans transposition nationale.
Les autorités nationales disposeront de pouvoirs de contrôle et de sanction, notamment :
- AMF / ACPR pour la France
- ESMA, EBA, EIOPA pour les entités transverses
- Inspections, audits, demandes de preuves documentées
10.2. Étapes de mise en conformité recommandées
- Cadrage : diagnostic initial et cartographie
- Gouvernance : nommer un responsable DORA / SSI
- Documentation : politiques, processus, cartographies
- Outils : supervision, détection, gestion d’incident
- Fournisseurs : revue des contrats, audit des tiers TIC
- Sensibilisation : formation, procédures internes
- Tests : planification des TLPT / PRA / PCA
- Surveillance : indicateurs, tableaux de bord, reporting
- Audits internes : vérifier l’efficacité réelle
Tip
Une feuille de route DORA peut être pilotée comme un projet classique GRC (Gouvernance Risque Conformité).
10.3. Documentation à prévoir
- Registre des actifs TIC
- Plan de gestion de crise
- Registre des incidents
- Plan de tests
- Registre des fournisseurs TIC
- Chartes internes
10.4. Délais
- DORA s’applique dès 17 janvier 2025
- TLPT obligatoires tous les 3 ans pour les grandes entités