DORA 2026 : se conformer à la réglementation européenne

Le règlement européen DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est entré en application le 17 janvier 2025. Il impose désormais aux entités financières européennes — banques, assurances, fonds d’investissement, fintechs, prestataires de services de paiement — ainsi qu’à leurs prestataires tiers de services TIC critiques (cloud, software, data centers) un cadre unifié de résilience opérationnelle numérique. Les sanctions peuvent atteindre 2 % du chiffre d’affaires annuel mondial pour une entité financière, et jusqu’à 1 % du chiffre d’affaires mondial quotidien moyen pour un prestataire tiers TIC critique désigné. En 2026, première année pleine d’application, l’ACPR et l’ABE (Autorité bancaire européenne) intensifient les contrôles. Ce dossier décrypte les cinq piliers du règlement et la trajectoire de mise en conformité.

Ce guide synthétise les obligations issues du règlement DORA, des règlements techniques de réglementation (RTS) et des règlements techniques d’exécution (ITS) publiés par les Autorités européennes de surveillance (ESAs). Il s’adresse aux directions générales, RSSI, DPO, responsables conformité, directeurs des risques, chefs de projet TIC, juristes et auditeurs des entités financières françaises et de leurs prestataires. Pour approfondir les volets cyber et conformité associés, consultez notre dossier ISO 27001, notre guide du DPO et notre guide des formations cybersécurité 2026. Le domaine Cybersécurité d’Elitek regroupe l’ensemble des parcours associés.

Qu’est-ce que le règlement DORA

DORA (Digital Operational Resilience Act) est le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Il complète et remplace les exigences éparses qui existaient jusqu’ici dans les directives sectorielles (CRD pour les banques, Solvency II pour les assurances, MiFID II pour les marchés). En tant que règlement, il s’applique directement dans tous les États membres sans transposition nationale, ce qui garantit un cadre unifié à l’échelle de l’Union européenne.

L’ambition du texte est claire : faire en sorte que les acteurs financiers européens soient capables de résister à un incident cyber ou à une défaillance technologique majeure, et de continuer à fournir leurs services critiques même en situation dégradée. Le règlement est entré en vigueur le 16 janvier 2023 mais son application effective a commencé le 17 janvier 2025, après deux années dédiées à la publication des règlements techniques par l’ABE, l’AEMF et l’EIOPA. En 2026, les autorités nationales compétentes — en France l’ACPR pour la banque et l’assurance, l’AMF pour les marchés financiers — entrent dans une phase de contrôle approfondi.

Cette mutation impose un changement de posture aux directions, aux équipes TIC et aux équipes projet du secteur financier. Les chefs de projet, Product Owners, Scrum Masters et coaches agile qui interviennent sur des projets bancaires ou assurantiels doivent désormais intégrer DORA dès la conception. C’est la raison pour laquelle les certifications projet comme le PMP, le CAPM, le Leading SAFe, le PSM 1 ou le PSPO 1 intègrent désormais une dimension conformité et résilience opérationnelle indispensable pour piloter ces transformations.

À qui s’adresse cette réglementation

DORA couvre un périmètre très large d’entités financières et de leurs partenaires technologiques. Le règlement liste explicitement une vingtaine de catégories d’entités assujetties, depuis les établissements de crédit jusqu’aux gestionnaires de fonds alternatifs en passant par les contreparties centrales, les agences de notation, les prestataires de services de financement participatif et les prestataires de services sur crypto-actifs (MiCA). Au total, plusieurs milliers d’entités françaises sont concernées, sans compter les prestataires tiers TIC qui sont indirectement touchés par les exigences contractuelles de leurs clients financiers.

Les profils suivants tireront un bénéfice direct de la lecture de ce guide :

Dirigeants, comex et conseils d’administration des entités financières qui sont désormais responsables personnellement de la gouvernance des risques TIC et doivent valider la stratégie de résilience opérationnelle numérique ;
RSSI, directeurs des risques opérationnels, responsables conformité, juristes et DPO qui orchestrent la mise en conformité opérationnelle et documentaire ;
Chefs de projet, Product Owners, Scrum Masters et coaches agile qui pilotent les chantiers TIC du secteur financier et doivent intégrer les exigences DORA dans le cycle produit ;
Prestataires tiers TIC (cloud providers, éditeurs SaaS, intégrateurs, data centers, sociétés de cybersécurité) qui doivent renforcer leurs contrats, leurs reportings et accepter d’éventuels audits ou tests de résilience à la demande de leurs clients financiers.

Pour structurer la montée en compétences transverse, Elitek propose un parcours cybersécurité dédié, un guide CPF 2026 pour mobiliser les financements existants, ainsi qu’une formation IA pour chefs de projet qui aborde explicitement les enjeux d’AI Act et de gouvernance algorithmique, désormais imbriqués avec DORA pour les fintechs.

Les 5 piliers du règlement DORA

Le règlement s’articule autour de cinq grands piliers qui forment la trame de la mise en conformité. Chaque pilier est précisé par des règlements techniques (RTS et ITS) publiés en 2024 par les ESAs. La cartographie ci-dessous résume les attendus opérationnels.

1. Gestion des risques TIC (articles 5 à 16) : la direction générale doit approuver un cadre formel de gestion des risques liés aux technologies de l’information et de la communication, couvrant identification, protection, détection, réponse et reprise. Le cadre est revu annuellement et après chaque incident majeur. Une fonction de contrôle indépendante (RSSI ou équivalent) doit être désignée. La cartographie des systèmes critiques, le plan de continuité d’activité (PCA) et le plan de reprise (PRA) sont obligatoires.
2. Gestion, classification et déclaration des incidents TIC (articles 17 à 23) : tout incident majeur doit faire l’objet d’une déclaration à l’ACPR en France selon des seuils harmonisés (clients affectés, durée d’indisponibilité, pertes financières, impact réputationnel, criticité des services). Trois rapports successifs sont attendus : initial sous 4 heures après classification, intermédiaire sous 72 heures, final sous 1 mois. Les incidents cyber significatifs déclenchent un canal renforcé. La conservation des journaux d’incident s’étend sur plusieurs années.
3. Tests de résilience opérationnelle numérique (articles 24 à 27) : les entités doivent réaliser un programme annuel de tests proportionné à leur taille et à leur criticité. Pour les acteurs significatifs identifiés par les autorités, un test avancé de type TLPT (Threat-Led Penetration Testing) est obligatoire au moins tous les 3 ans, mené par des testeurs externes indépendants disposant des qualifications requises (le cadre TIBER-EU est le standard de référence). Les vulnérabilités identifiées doivent être traitées selon un plan d’action documenté.
4. Gestion des risques liés aux prestataires tiers TIC (articles 28 à 44) : chaque entité tient un registre exhaustif de ses prestataires TIC, incluant les sous-traitances en cascade. Les contrats doivent inclure des clauses obligatoires : droit d’audit, droit d’accès, niveaux de service, stratégie de sortie, traitement des incidents, sécurité des données. Les prestataires tiers TIC jugés critiques au niveau européen sont désignés par les ESAs et supervisés directement par un lead overseer (l’ABE, l’AEMF ou l’EIOPA selon le secteur). En 2025-2026, les premiers grands hyperscalers cloud ont été désignés comme prestataires tiers TIC critiques.
5. Partage d’informations sur les cybermenaces (articles 45 et 46) : les entités financières sont encouragées à participer à des dispositifs volontaires de partage d’informations sur les cybermenaces et leur résolution. En France, le CERT-FR et le FS-ISAC France constituent des points de référence. Le partage doit respecter le RGPD et le secret professionnel bancaire.

Quels débouchés et salaires en France

L’application de DORA crée mécaniquement de nouveaux besoins de compétences dans le secteur financier français et chez ses prestataires. Les principaux postes en tension concernent les profils Risque Opérationnel TIC, conformité DORA, RSSI secteur financier, auditeur de résilience opérationnelle, gestionnaire de risques tiers TIC, et chef de projet conformité réglementaire. À cela s’ajoute une demande forte sur les testeurs TLPT et les pentesters spécialisés finance.

Les ordres de grandeur observés sur le marché français en 2026 sont les suivants. Un analyste conformité TIC junior se positionne entre 42 et 58 K€ bruts annuels. Un responsable risque opérationnel TIC évolue entre 60 et 90 K€ selon la taille de la structure. Un RSSI d’ETI bancaire ou assurantielle atteint 95 à 140 K€, davantage en banque universelle ou en assurance vie. Un auditeur DORA confirmé en cabinet conseil (Big Four, cabinets spécialisés) se situe entre 70 et 110 K€. Les profils combinant compétences ISO 27001, CISA, CISM ou COBIT et expérience secteur financier accèdent rapidement à des fourchettes hautes.

Au-delà des métiers strictement risque et conformité, les certifications projet et agilité ouvrent des passerelles vers des rôles de chef de projet DORA, de Product Owner d’une plateforme bancaire ou de coach agile d’une équipe TIC sous obligation DORA. Un profil PMP formé aux exigences DORA, un Product Owner sensibilisé aux RTS sur la résilience opérationnelle, ou un profil Leading SAFe intégrant les contrôles dans son ART gagnent un avantage différenciant sur le marché bancaire. Pour le volet débutant gestion de projet, la fiche CPF PMP détaille les financements applicables et le guide solde CPF aide à calibrer le reste à charge.

Comment se préparer et financer la mise en conformité

Quatre leviers structurent une trajectoire de conformité DORA cohérente. Le premier est la formation continue certifiante des équipes risque, conformité et TIC : ISO 27001 Lead Implementer ou Lead Auditor pour le cadre SMSI, CISA pour l’audit, CISM pour le management de la sécurité, COBIT 2019 pour la gouvernance IT, ITIL 4 pour la gestion des services. Ces certifications constituent les standards de référence cités explicitement par les régulateurs européens. Le deuxième levier est l’intégration des exigences DORA dans les certifications projet et agilité existantes (PMP, CAPM, Leading SAFe, PSM 1, PSPO 1). Le troisième levier est l’accompagnement par des cabinets spécialisés (audit, conseil RSSI, juristes spécialisés règlementation financière) pour réaliser le gap analysis initial et structurer le plan d’action. Le quatrième levier est la professionnalisation des achats TIC pour renégocier les contrats prestataires et y intégrer les clauses obligatoires DORA.

Côté financement, les principaux dispositifs restent le CPF (consultez notre guide CPF 2026 et la fiche CPF PMP), les OPCO (Atlas pour la banque-assurance, Akto pour les services, Constructys, Opcommerce) qui cofinancent largement les formations cybersécurité et conformité, France Travail pour les demandeurs d’emploi en reconversion, et le plan de développement des compétences entreprise. Le crédit d’impôt formation des dirigeants reste mobilisable pour les TPE-PME prestataires de la chaîne financière. Pour les budgets conformité globaux, les directions financières provisionnent désormais une enveloppe dédiée DORA en regard du risque de sanction financière.

Comment Elitek vous accompagne

Elitek est un organisme de formation Qualiopi spécialisé dans les parcours certifiants en gestion de projet, agilité, IT, cybersécurité et intelligence artificielle. Nos sessions se déroulent en 100 % distanciel, avec classe virtuelle, plateforme d’apprentissage et accompagnement administratif pour les financements CPF, OPCO, France Travail ou entreprise.

Pour transformer un sujet général en décision concrète, nos conseillers pédagogiques orientent le stagiaire vers le bon parcours : formation PMP Elitek, formation CAPM, formation PSM 1, formation PSPO 1, formation Leading SAFe ou formation IA pour chefs de projet. Les parcours les plus demandés affichent des tarifs transparents : formation PMP 1 790 € TTC, formation CAPM 2 090 € TTC, formation PSM 1 à 1 050 € TTC, formation PSPO 1 à 1 190 € TTC, formation Leading SAFe à 1 480 € TTC et formation IA pour Chefs de Projet à 1 290 € TTC.

Nos stagiaires nous attribuent une note moyenne de 9.15/10 sur 8 ans, avec 9.35/10 en 2026. Cette continuité compte davantage qu’un slogan : elle reflète des évaluations à chaud, à froid et des retours sur la qualité des formateurs.

Plus de 50 entreprises font confiance à Elitek pour la montée en compétences de leurs équipes, dont Eiffage, Generali, GRDF, Orange Cyberdefense, RATP et Capgemini-Altran.

FAQ

Quelles entreprises sont concernées par DORA en 2026 ?

DORA s’applique à une vingtaine de catégories d’entités financières européennes : établissements de crédit, entreprises d’investissement, prestataires de services de paiement, établissements de monnaie électronique, dépositaires centraux de titres, contreparties centrales, plateformes de négociation, OPCVM et FIA, entreprises d’assurance et de réassurance, intermédiaires, fonds de retraite professionnelle, agences de notation, administrateurs d’indices de référence, prestataires de services sur crypto-actifs et prestataires de services de financement participatif. Il s’applique également indirectement à leurs prestataires tiers TIC critiques (cloud, software, data centers, MSSP). Les très petites entreprises bénéficient d’un régime allégé. L’ACPR et l’AMF sont les autorités françaises compétentes. Consultez notre guide des formations cybersécurité 2026 pour structurer la montée en compétences.

Quelles sont les sanctions prévues par DORA ?

Les sanctions financières peuvent atteindre 2 % du chiffre d’affaires annuel mondial pour une entité financière. Pour les personnes physiques (dirigeants), des amendes administratives jusqu’à 1 million d’euros sont prévues. Pour les prestataires tiers TIC critiques désignés au niveau européen, la sanction peut aller jusqu’à 1 % du chiffre d’affaires quotidien mondial moyen, applicable pour chaque jour de manquement, jusqu’à 6 mois. Au-delà des sanctions financières, l’ACPR peut prononcer des sanctions disciplinaires, suspendre l’agrément, ordonner la cessation des manquements et publier les décisions. Le risque réputationnel est significatif, particulièrement pour les acteurs cotés. Voir notre dossier ISO 27001 et notre guide DPO.

Qu’est-ce qu’un TLPT et qui doit le réaliser ?

Le TLPT (Threat-Led Penetration Testing) est un test de pénétration avancé fondé sur des scénarios de menaces réelles inspirées du paysage cyber. Le test cible les systèmes critiques en production et simule l’action d’un attaquant motivé (groupes criminels, États). Le cadre TIBER-EU publié par la Banque centrale européenne sert de référence méthodologique. DORA impose un TLPT au minimum tous les 3 ans pour les entités financières significatives identifiées par les autorités compétentes (banques d’importance systémique, grandes assurances, infrastructures de marché). Les testeurs doivent être externes, indépendants et certifiés (CREST, CHECK, OSEP, OSCE3 ou équivalents reconnus). Le rapport est partagé avec l’autorité de tutelle.

Quelle différence entre DORA, NIS 2 et RGPD ?

Les trois textes coexistent et ne se substituent pas. Le RGPD protège les données personnelles et impose la déclaration des violations à la CNIL sous 72 heures. NIS 2 couvre 18 secteurs essentiels et importants (énergie, transport, santé, banque, eau, infrastructure numérique, administration) avec déclaration des incidents sous 24 à 72 heures aux CSIRT nationaux. DORA cible spécifiquement la résilience opérationnelle numérique du secteur financier européen et impose la déclaration à l’autorité financière (ACPR en France) sous 4 heures, 72 heures et 1 mois. Une banque française est donc soumise simultanément aux trois textes : RGPD pour les données clients, NIS 2 comme secteur essentiel, DORA comme entité financière. Voir notre guide DPO.

Quelles certifications utiles pour piloter DORA ?

Plusieurs certifications constituent une base solide. ISO 27001 Lead Implementer ou Lead Auditor structure le système de management de la sécurité de l’information attendu par DORA. CISA (Certified Information Systems Auditor) couvre l’audit des contrôles TIC. CISM (Certified Information Security Manager) cible le pilotage stratégique de la sécurité. COBIT 2019 apporte le cadre de gouvernance et de gestion IT. ITIL 4 permet d’aligner gestion des services et résilience opérationnelle. Pour les profils projet, les certifications PMP, CAPM, Leading SAFe, PSM 1 ou PSPO 1 apportent la méthodologie pour piloter les chantiers DORA en mode projet ou agile.

Comment financer une formation DORA ou conformité TIC en 2026 ?

Plusieurs dispositifs cohabitent. Le CPF (compte personnel de formation) finance les parcours certifiants éligibles France Compétences ; consultez notre guide CPF 2026. Les OPCO (Atlas pour la banque-assurance, Akto pour les services, Constructys, Opcommerce) cofinancent les formations entreprises selon les branches. France Travail finance les demandeurs d’emploi via l’AIF ou les POEC. Le plan de développement des compétences entreprise reste le levier le plus souple pour les sessions intra. Pour les dirigeants TPE et ETI prestataires de la chaîne bancaire, le crédit d’impôt formation s’applique. Pour les certifications projet associées, la fiche CPF PMP détaille les modalités, et le guide solde CPF aide à calibrer le reste à charge.