Le règlement DORA (Digital Operational Resilience Act, règlement UE 2022/2554) est applicable depuis le 17 janvier 2025. Il établit un cadre européen harmonisé de résilience opérationnelle numérique pour le secteur financier, couvrant un large éventail d'entités financières listées à l'article 2(1) ainsi que leurs prestataires de services TIC. Pour les banques suisses, les maisons de titres et les prestataires TIC basés en Suisse qui servent des clients européens, DORA n'est pas un texte à contempler de loin : son impact est indirect mais concret, via les contrats commerciaux avec les entités UE, les filiales européennes de groupes suisses, et le dispositif de désignation des prestataires tiers critiques (article 36).
Ce guide couvre l'ensemble des exigences : les cinq piliers, les entités concernées au titre de l'article 2, le calendrier d'application, les sanctions, la gouvernance, et l'articulation pratique avec la Circulaire FINMA 23/01 et la directive NIS 2. Il s'adresse aux CISO, responsables conformité, risk managers et dirigeants d'institutions financières et de prestataires TIC qui doivent démontrer leur conformité en 2026.
Chez Abilene Academy, seul partenaire PECB Titanium en Suisse, nous avons formé plus de 2 500 professionnels dans 120 pays, avec un taux de réussite aux examens PECB de 99 %. Les pages qui suivent reflètent ce que nos formateurs voient sur le terrain : ce qui bloque réellement les entités exposées à DORA en 2026, et ce qui fait la différence entre la conformité théorique et la conformité auditable.
Date d'application pleine et entière de DORA
17 janvier 2025. Source : Règlement (UE) 2022/2554, article 64. Depuis cette date, l'ensemble des exigences du règlement et des normes techniques associées sont pleinement applicables dans les 27 États membres de l'UE.
99 % de réussite aux examens PECB
Taux de réussite des candidats Abilene Academy aux examens de certification PECB (données internes vérifiées, 2025). Abilene Academy est le seul partenaire PECB Titanium en Suisse.
Qu'est-ce que le règlement DORA ?
DORA est le règlement européen (UE) 2022/2554 du 14 décembre 2022 qui impose un cadre harmonisé de résilience opérationnelle numérique au secteur financier. Applicable depuis le 17 janvier 2025, il unifie pour la première fois les exigences de gestion des risques TIC à l'échelle des 27 États membres de l'Union européenne.
DORA : Digital Operational Resilience Act
Règlement européen qui harmonise les exigences de résilience opérationnelle numérique pour les entités financières et leurs prestataires TIC, applicable depuis le 17 janvier 2025 dans les 27 États membres de l'UE. Source : Règlement (UE) 2022/2554 du Parlement européen et du Conseil, 14 décembre 2022.
Avant DORA, la résilience numérique des entités financières était régie par un patchwork de textes sectoriels, tels que la CRD pour les banques, Solvabilité II pour les assurances ou MiFID II pour les marchés, ainsi que par des exigences nationales hétérogènes. Chaque régulateur avait son interprétation, chaque entité transfrontalière jonglait avec des cadres parallèles. DORA clôt cette fragmentation.
Le texte s'inscrit dans le Paquet Finance Numérique de l'Union européenne, aux côtés du règlement MiCA sur les crypto-actifs et du règlement sur le régime pilote DLT. C'est la pierre angulaire de la stratégie européenne de cybersécurité financière.
Un point à retenir pour comprendre la suite : DORA est un règlement, pas une directive. Il a force de loi directement dans chaque État membre, sans transposition. Les États peuvent ajouter des exigences nationales plus strictes (gold plating), mais ils ne peuvent ni diluer ni retarder le texte.
Qui est concerné par le règlement DORA ?
DORA s'applique aux entités financières listées à l'article 2(1) du règlement : établissements de crédit, entreprises d'investissement, assurances, sociétés de gestion, établissements de paiement, prestataires de services sur crypto-actifs, entre autres ; le règlement couvre également leurs prestataires de services TIC tiers. Un prestataire TIC n'est soumis à la supervision directe de l'Union européenne que s'il est désigné prestataire tiers critique (CTPP) par les autorités européennes ; les autres restent encadrés via la relation contractuelle avec leur client financier.
L'article 2(1) du règlement énumère les entités concernées sous les lettres a) à u). Le périmètre inclut notamment les établissements de crédit, les établissements de paiement, les prestataires de services d'information sur les comptes, les établissements de monnaie électronique, les entreprises d'investissement, les prestataires de services sur crypto-actifs agréés (régime MiCA), les dépositaires centraux de titres, les contreparties centrales, les plateformes de négociation, les référentiels centraux, les gestionnaires de fonds d'investissement alternatifs, les sociétés de gestion, les prestataires de services de communication de données, les entreprises d'assurance et de réassurance, les intermédiaires d'assurance et de réassurance, les institutions de retraite professionnelle, les agences de notation de crédit, les administrateurs d'indices de référence d'importance critique, les prestataires de services de financement participatif, les référentiels des titrisations, et les prestataires tiers de services TIC.
La formulation exacte, incluant les renvois aux textes européens associés (CRD, Solvabilité II, MiFID II, MiCA, AIFMD, UCITS, etc.), figure au texte officiel du règlement ; c'est lui qui fait foi pour déterminer le statut d'une entité donnée. Certaines lettres regroupent plusieurs sous-catégories et la qualification précise d'une entité appelle une analyse au cas par cas.
Ce dernier point est déterminant. Un fournisseur cloud comme AWS, Azure ou Google Cloud, un éditeur de logiciel de trading, un opérateur de centre de données peut entrer dans le périmètre de DORA lorsqu'il fournit des services à une entité financière européenne. Deux niveaux d'implication coexistent : les prestataires désignés critiques (CTPP) par les autorités européennes de surveillance sont soumis à la supervision directe d'un Lead Overseer européen ; les autres prestataires sont encadrés via la relation contractuelle obligatoire avec leur client financier (clauses d'audit, localisation des données, stratégies de sortie).
Principe de proportionnalité
Les obligations sont modulées selon la taille, le profil de risque et la complexité de l'entité. Les micro-entreprises bénéficient d'un régime simplifié pour le cadre de gestion des risques TIC, utile à connaître pour les fintech en démarrage et les petites entités d'assurance.
La portée extraterritoriale : le cas de la Suisse
La Suisse n'est pas membre de l'Union européenne. La FINMA n'applique donc pas DORA directement. Et pourtant, DORA s'impose de facto à une partie significative du secteur financier suisse, pour trois raisons.
Article 36 du règlement : les prestataires TIC établis hors de l'UE qui fournissent des services critiques à des entités financières européennes peuvent être désignés prestataires tiers critiques de services TIC (CTPP, Critical Third Party Provider) et soumis à la supervision directe d'un Lead Overseer européen. Un fournisseur cloud ou éditeur de logiciel suisse qui sert une banque allemande ou française peut se retrouver sous régulation européenne directe.
Filiales européennes de banques suisses : une banque suisse qui exploite une filiale agréée dans un État membre (Luxembourg, France, Allemagne) doit appliquer DORA à cette filiale. Si les services TIC sont mutualisés depuis le siège suisse, les exigences DORA remontent mécaniquement vers le siège.
Exigences contractuelles imposées par les clients UE : les entités financières européennes doivent intégrer les clauses contractuelles obligatoires de DORA dans leurs contrats avec tous leurs prestataires TIC, y compris suisses. Droits d'audit, localisation des données, stratégies de sortie, obligations de reporting : un prestataire TIC suisse qui veut garder ses clients UE devra renégocier.
Risque opérationnel 2026
Des entités suisses découvrent en 2026, au moment de renégocier avec leurs clients européens, qu'elles ont 12 à 18 mois de retard sur les clauses contractuelles DORA. Le coût de rattrapage dépasse systématiquement le coût d'une mise en conformité planifiée. Lancer l'analyse d'exposition maintenant évite ce scénario.
Calendrier d'application de DORA
DORA a été adopté le 14 décembre 2022, publié au Journal officiel de l'UE le 27 décembre 2022, et est entré en vigueur le 16 janvier 2023. La date d'application des obligations est fixée au 17 janvier 2025. Depuis cette date, l'ensemble des exigences du règlement et des normes techniques associées sont pleinement applicables.
Timeline verticale des jalons DORA de 2022 à 2026+ : adoption, publication JOUE, entrée en vigueur, période transitoire, second paquet RTS/ITS, application pleine, supervision effective, cycles TLPT.
En 2026, la phase de mise à jour est terminée. Les autorités compétentes, ACPR et AMF en France, BaFin en Allemagne, CSSF au Luxembourg, CNB en République tchèque, contrôlent la conformité effective. Le premier bilan de supervision européenne est attendu dans le courant de l'année.
Les 5 piliers du règlement DORA
DORA est structuré en 9 chapitres et 64 articles, dont les obligations opérationnelles sont organisées en cinq piliers : gestion des risques TIC, notification des incidents, tests de résilience, gestion des risques tiers TIC, et partage d'informations sur les cybermenaces. Chaque pilier impose un ensemble d'obligations spécifiques aux entités financières et à leurs prestataires.
Diagramme en grille des 5 piliers DORA avec plage d'articles et icône pour chaque pilier.
Pilier 1 : gestion des risques TIC (articles 5 à 16)
C'est le socle du règlement. Les entités financières doivent mettre en place un cadre de gestion des risques TIC complet, documenté, régulièrement mis à jour, et validé par l'organe de direction. Ce cadre doit couvrir cinq fonctions essentielles : identification (cartographier actifs TIC, fonctions critiques, dépendances tierces ; l'article 8 exige une révision annuelle) ; protection (contrôles d'accès, chiffrement, gestion des correctifs, segmentation ; exigences précisées par le règlement délégué (UE) 2024/1774 du 13 mars 2024) ; détection (surveillance continue, détection d'anomalies, alertes temps réel) ; réponse et rétablissement (plans d'incident, continuité TIC, reprise après sinistre) ; et apprentissage et évolution (retour d'expérience systématique). Une fonction de gestion des risques TIC doit être désignée, avec un niveau d'indépendance suffisant par rapport aux fonctions opérationnelles.
Pilier 2 : notification des incidents TIC (articles 17 à 23)
Les entités doivent détecter, classer et notifier leurs incidents TIC selon un régime harmonisé. La classification repose sur des critères précis définis par les RTS : nombre de clients affectés, durée de l'incident, étendue géographique, pertes de données, impact économique, criticité des services touchés. Pour un incident classé majeur, le processus de notification est en trois temps : notification initiale dans des délais très courts après la classification (typiquement 4 heures), notification intermédiaire avec les éléments d'analyse consolidés, puis rapport final une fois l'incident traité. Les entités doivent également tenir un registre de tous les incidents TIC, y compris non majeurs, à disposition de l'autorité compétente.
Pilier 3 : tests de résilience opérationnelle numérique (articles 24 à 27)
Deux niveaux de tests coexistent. Les tests de base sont obligatoires pour toutes les entités, au moins une fois par an : évaluations de vulnérabilité, tests de sécurité des réseaux, analyses d'écarts, audits de code source, tests de performance, tests de scénarios, examens de sécurité physique.
TLPT : Threat-Led Penetration Testing
Tests avancés de pénétration fondés sur la menace, inspirés du cadre TIBER-EU. Obligatoires uniquement pour les entités désignées par les autorités compétentes sur critère d'importance systémique, selon une fréquence minimale de trois ans. Source : Règlement (UE) 2022/2554, articles 26 et 27.
Les tests TLPT simulent des attaques réalistes menées par des testeurs externes qualifiés contre les fonctions critiques de l'entité. Les résultats doivent être communiqués à l'autorité compétente et donner lieu à des plans de remédiation suivis.
Pilier 4 : gestion des risques liés aux prestataires tiers de services TIC (articles 28 à 44)
C'est l'innovation la plus marquante du règlement et la section qui étend pour la première fois la surveillance réglementaire européenne au-delà des entités financières elles-mêmes, vers leurs fournisseurs technologiques. Deux cadres coexistent.
Cadre de gestion des risques tiers TIC (applicable à toutes les entités) : évaluation des risques avant toute externalisation, intégration de clauses contractuelles obligatoires dans les contrats TIC (droits d'audit sur site, localisation des données, stratégies de sortie, garanties de continuité), et tenue d'un registre des accords contractuels transmis régulièrement à l'autorité compétente. Des plateformes spécialisées comme Supplier Shield industrialisent la tenue de ce registre, la cartographie de criticité, et la surveillance continue des clauses DORA dans les contrats TIC.
CTPP : Critical Third Party Provider
Prestataire tiers de services TIC désigné critique par les autorités européennes de surveillance (ABE, AEAPP, AEMF), soumis à la supervision directe d'un Lead Overseer européen avec pouvoir d'inspection sur site, recommandations et astreintes. Source : Règlement (UE) 2022/2554, articles 31 à 35.
Cadre de supervision directe des prestataires TIC critiques (CTPP) : le Lead Overseer peut mener des inspections sur place, formuler des recommandations, et, en dernier recours, demander aux entités financières de suspendre ou de rompre leurs relations contractuelles avec un prestataire non conforme. Pour les entités qui utilisent déjà la plateforme Supplier Shield pour la gestion de leurs risques tiers, DORA rend les exigences de cartographie, de criticité et de revue contractuelle opposables, et donc auditables.
Pilier 5 : partage d'informations sur les cybermenaces (article 45)
Cinquième pilier, plus léger sur le plan obligationnel : les entités sont encouragées à partager entre elles renseignements et informations sur les cybermenaces, au sein de communautés de confiance, dans le respect du RGPD et des règles de concurrence. Le partage est volontaire, mais le règlement l'encadre pour donner un cadre juridique clair aux échanges.
DORA vs Circulaires FINMA 23/01 et 18/03 : ce qui change pour les banques suisses
La Circulaire FINMA 2023/1 « Risques et résilience opérationnels – banques » (FINMA 23/01), entrée en vigueur le 1er janvier 2024, couvre en partie le même terrain que DORA, mais avec un périmètre et des modalités distincts. La Circulaire FINMA 2018/3 sur l'outsourcing (FINMA 18/03) complète le dispositif suisse. En pratique, les institutions financières suisses actives dans l'UE doivent composer avec les deux cadres en parallèle.
La comparaison ci-dessous est une lecture pratique à destination des responsables conformité suisses exposés aux deux cadres. Elle n'a pas valeur d'opinion juridique et ne dispense pas d'une analyse au cas par cas : les circulaires FINMA et le règlement DORA restent des textes distincts dont l'articulation précise dépend du statut de l'entité, des services fournis, et de l'interprétation des autorités.
Comparaison synthétique : Circulaire FINMA 23/01, Circulaire FINMA 18/03, règlement DORA
Dimension: Nature juridique
Dimension: Entrée en vigueur
Dimension: Entités visées
Dimension: Prestataires TIC
Dimension: Gestion des risques
Dimension: Notification d'incidents
Dimension: Tests de résilience
Dimension: Sanctions
Dimension: Portée géographique
Pour une banque suisse avec des activités purement domestiques, la Circulaire 23/01 suffit. Pour une banque suisse avec une filiale UE agréée, ou pour un prestataire TIC suisse qui sert des clients européens, la double conformité FINMA + DORA est la norme en 2026.
DORA vs NIS 2 : le principe de lex specialis
Pour les entités financières qui relèvent à la fois du règlement DORA et de la directive NIS 2, c'est DORA qui prime en vertu du principe de lex specialis ; la loi spéciale déroge à la loi générale. Une banque ou une assurance qui applique DORA n'a pas à appliquer NIS 2 dans les domaines couverts par DORA, mais NIS 2 peut rester pertinente pour les aspects non couverts (sécurité de la chaîne d'approvisionnement au sens large, certaines obligations de sécurité des données).
Les deux textes traitent de cybersécurité et de résilience, et leurs champs d'application se recoupent partiellement. Le législateur européen a anticipé le conflit et l'a résolu : pour les entités financières, DORA est la législation sectorielle de référence. Les obligations NIS 2 qui seraient redondantes avec DORA sont remplacées par DORA.
En pratique, cela signifie :
- Pour une banque : DORA s'applique, pas NIS 2 sur les risques TIC, la gestion des incidents, les tests de résilience, la gestion des tiers TIC.
- Pour un prestataire TIC non financier : NIS 2 s'applique s'il répond aux critères de la directive (taille, secteur essentiel ou important).
- Pour un prestataire TIC qui sert une banque UE : potentiellement les deux cadres s'appliquent, avec des obligations différentes selon le client final.
Pour approfondir les obligations NIS 2 elles-mêmes, notamment le champ d'application, les sanctions, l'article 21, le contexte français et la transposition, consultez notre guide complet NIS 2 pour les entreprises concernées en France (2026). Pour un prestataire TIC non financier qui sert à la fois des clients financiers UE et des infrastructures critiques, les deux guides se lisent ensemble.
Sanctions et astreintes DORA
Le règlement DORA laisse aux États membres le soin de définir leur régime de sanctions applicable aux entités financières, mais impose des principes : les sanctions doivent être effectives, proportionnées et dissuasives. Pour les prestataires TIC critiques (CTPP), le Lead Overseer européen peut imposer des astreintes pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen, pendant six mois maximum (article 35).
Les sanctions disponibles pour les autorités nationales compétentes (ACPR, AMF, BaFin, CSSF, etc.) :
- Injonctions de mise en conformité : ordre formel de corriger un manquement dans un délai donné.
- Sanctions administratives pécuniaires : montants définis par chaque État membre.
- Astreintes journalières : pour forcer la conformité.
- Retrait ou suspension d'agrément : dans les cas les plus graves, équivaut à une cessation d'activité.
- Déclarations publiques : l'autorité peut rendre publique l'identité de la personne responsable et la nature du manquement (article 50(4)).
- Sanctions pénales : les États peuvent les prévoir en cas de violation.
Pour les prestataires TIC critiques, l'article 35 prévoit un régime spécifique : le Lead Overseer européen peut imposer des astreintes journalières pouvant atteindre 1 % du chiffre d'affaires mondial journalier moyen du prestataire, et ce pendant une durée maximale de six mois, pour contraindre à la mise en conformité.
Pour situer par rapport à d'autres textes européens : la directive NIS 2 prévoit pour les entités essentielles des amendes administratives pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial annuel total, selon le régime national de transposition. DORA adopte une logique différente, faite de sanctions graduées, astreintes et mesures prudentielles, et laisse aux États membres le soin de fixer les plafonds d'amendes pour les entités financières sur leur territoire. Le régime applicable à une situation donnée dépend donc de l'État membre, du type d'entité concernée, et de la nature du manquement.
Gouvernance DORA : la responsabilité du conseil d'administration
DORA attribue la responsabilité de la résilience opérationnelle numérique à l'organe de direction de l'entité financière. Cette responsabilité est directe, personnelle, et ne peut être déléguée à la fonction conformité ou à la DSI. Le conseil d'administration doit définir, approuver, superviser et réexaminer périodiquement le cadre de gestion des risques TIC, allouer un budget suffisant, et se former régulièrement aux risques numériques.
Les obligations spécifiques du conseil d'administration (ou organe équivalent) :
- Définir et approuver la stratégie de résilience opérationnelle numérique
- Approuver le cadre de gestion des risques TIC et en superviser la mise en œuvre
- Approuver la politique de continuité des activités TIC et les plans de reprise après sinistre
- Approuver et réexaminer périodiquement les plans d'audit TIC
- Allouer un budget suffisant à la résilience opérationnelle numérique
- Se former régulièrement aux risques TIC et à leur évolution
C'est un changement culturel majeur. Dans de nombreuses institutions, la cybersécurité relevait historiquement d'un niveau opérationnel (DSI, RSSI). DORA la porte au niveau stratégique ; elle devient un enjeu de gouvernance au même titre que la solvabilité ou la liquidité.
Résilience opérationnelle n'est pas continuité d'activité
Les deux notions sont souvent confondues. La résilience opérationnelle, au sens DORA, couvre la capacité à maintenir les services critiques sous toute forme de perturbation TIC, au-delà du périmètre classique du BCM ISO 22301. Pour une banque UE qui veut aligner son dispositif BCM sur les attentes DORA, la lecture croisée des deux cadres est la norme.
Les 8 étapes pratiques de mise en conformité DORA
La mise en conformité DORA suit une démarche structurée en huit étapes, depuis l'analyse d'applicabilité jusqu'à l'intégration dans les processus de contrôle interne. La durée et le coût dépendent fortement de la taille de l'entité, de la complexité de son système TIC et de son niveau de maturité initial ; les institutions complexes mobilisent généralement des budgets et des délais substantiels.
- 1. Analyse d'applicabilité : confirmer l'entrée dans le champ d'application (article 2) et identifier les obligations spécifiques selon la taille et le profil de risque.
- 2. Diagnostic de l'existant : évaluer la maturité actuelle en matière de résilience opérationnelle numérique par rapport aux exigences du règlement. Identifier les écarts critiques.
- 3. Gouvernance : responsabiliser formellement l'organe de direction, désigner la fonction de gestion des risques TIC, formaliser la stratégie de résilience.
- 4. Cadre de gestion des risques TIC : élaborer ou actualiser le cadre conformément aux exigences du règlement et du règlement délégué (UE) 2024/1774.
- 5. Gestion des prestataires tiers : recenser les accords contractuels TIC, évaluer les risques de concentration, renégocier les contrats pour intégrer les clauses obligatoires.
- 6. Tests de résilience : planifier et mettre en œuvre le programme de tests, incluant les TLPT pour les entités concernées.
- 7. Notification des incidents : mettre en place le dispositif de détection, classification et notification des incidents TIC, avec procédures d'escalade 24/7.
- 8. Amélioration continue : intégrer la résilience opérationnelle numérique dans les processus de gouvernance, d'audit interne et de contrôle permanent.
Les enquêtes de marché conduites avant l'échéance de janvier 2025 pointaient un niveau de préparation hétérogène dans le secteur. En 2026, la phase de supervision effective commence et les retardataires entrent dans le champ de contrôle des autorités compétentes.
Scénarios transfrontaliers pour les entités suisses
Une entité suisse peut être impactée par DORA dans trois scénarios principaux : elle fournit des services TIC critiques à une entité financière européenne, elle exploite une filiale agréée dans un État membre, ou elle utilise elle-même des prestataires TIC qui dépendent de DORA. Dans chaque cas, l'analyse d'exposition et la renégociation contractuelle sont à mener immédiatement.
Scénario 1 : prestataire TIC suisse d'une banque européenne. Une société suisse fournit un logiciel de core banking, un service cloud ou un service d'analyse de données à une banque allemande ou française. Si ces services sont qualifiés de critiques par la banque cliente, le prestataire devra accepter l'intégration des clauses contractuelles DORA (droits d'audit, localisation des données, stratégie de sortie, obligations de reporting). Si son importance systémique le justifie, il peut être désigné CTPP et soumis à la supervision directe d'un Lead Overseer européen au titre de l'article 36.
Scénario 2 : banque suisse avec filiale agréée dans l'UE. Une banque suisse exploite une filiale au Luxembourg, en Allemagne ou en France. La filiale est directement soumise à DORA. Si les services TIC sont mutualisés au niveau du groupe depuis le siège suisse, les exigences DORA remontent mécaniquement vers la maison-mère : cadre de gestion des risques TIC cohérent, registre d'accords contractuels consolidé, gouvernance de groupe alignée.
Scénario 3 : entité financière suisse utilisant des prestataires TIC basés dans l'UE. Moins fréquent, mais à surveiller : si les prestataires TIC de l'entité suisse sont eux-mêmes CTPP au titre de DORA, la coordination avec le Lead Overseer peut affecter la continuité du service. Dans certains cas extrêmes, une recommandation du Lead Overseer peut contraindre un prestataire critique à restructurer son activité, avec un impact en cascade sur ses clients suisses.
Actions à mener en 2026 pour une entité suisse exposée :
- Recenser tous les contrats avec des entités UE et tous les contrats où le prestataire est potentiellement CTPP.
- Qualifier la criticité des services fournis ou reçus.
- Anticiper la renégociation contractuelle : clauses d'audit, SLA, stratégies de sortie.
- Aligner le cadre interne de résilience sur DORA et FINMA 23/01 pour éviter de dupliquer les efforts.
- Former les équipes compliance, risk et IT sur les exigences spécifiques à DORA. Pour les projets complexes, s'appuyer sur Abilene Advisors, le cabinet de conseil GRC du groupe Abilene, qui intervient sur l'ensemble du cycle DORA : analyse d'exposition, cartographie CTPP, renégociation contractuelle, alignement ISO 27001 / FINMA 23/01 / NIS 2.
Formation et certification PECB DORA Lead Manager
La certification PECB DORA Lead Manager est la voie de référence pour les professionnels qui pilotent la mise en conformité DORA au sein d'une institution financière ou d'un prestataire TIC. Elle atteste de la maîtrise des 5 piliers du règlement, de la capacité à mettre en œuvre un cadre de gestion des risques TIC, et des compétences nécessaires à la conduite de l'ensemble du projet de conformité. La formation se déroule sur 5 jours, avec examen le dernier jour.
Public cible :
- CISO, DSI, RSSI d'institutions financières européennes et suisses
- Responsables conformité, risk managers, auditeurs internes dans le secteur bancaire, assurance, gestion d'actifs
- Responsables de la continuité d'activité et de la résilience opérationnelle
- Consultants GRC spécialisés dans le secteur financier
- Dirigeants et membres du comité d'audit qui doivent superviser la gouvernance DORA
Ce que la formation couvre :
- Paysage réglementaire européen et articulation avec les autres textes (NIS 2, RGPD, MiCA, Solvabilité II)
- Les 5 piliers du règlement et leurs articles respectifs
- Mise en œuvre pratique d'un cadre de gestion des risques TIC
- Gestion des prestataires tiers, registre d'accords contractuels, clauses obligatoires
- Tests de résilience et méthodologie TLPT
- Gouvernance, rôles et responsabilités de l'organe de direction
- Préparation à l'examen de certification
Prérequis : compréhension fondamentale des concepts de sécurité de l'information et de cybersécurité, familiarité avec les principes de gestion des risques TIC. Un socle en ISO 27001 est un atout majeur ; les professionnels certifiés ISO 27001 Lead Implementer atteignent la conformité DORA plus rapidement grâce à l'alignement des cadres de contrôles.
Pour les professionnels basés en Suisse, la formation DORA Lead Manager prend tout son sens en combinaison avec une compréhension fine de la Circulaire FINMA 23/01 et du cadre prudentiel suisse. Abilene Academy est le seul partenaire PECB Titanium en Suisse, avec un taux de réussite de 99 % aux examens PECB et plus de 2 500 professionnels formés dans 120 pays. La formation est disponible en français, en anglais et en espagnol, avec plusieurs formats au choix : présentiel, classe virtuelle, eLearning ou auto-apprentissage. D'autres langues sont disponibles sur demande.
Parcours recommandé pour un professionnel qui démarre : ISO 27001 Lead Implementer → PECB DORA Lead Manager → formation continue sur les évolutions 2026-2027 du règlement. Pour un profil plus orienté résilience opérationnelle et continuité d'activité, la certification PECB Lead Operational Resilience Manager est un complément naturel.
Pour situer DORA dans l'écosystème GRC suisse plus large, voir aussi notre guide complet des formations ISO 27001 en Suisse (2026) et, pour la méthode d'analyse de risque en amont, EBIOS Risk Manager : tout ce qu'il faut savoir sur la méthode et la certification PECB.
Les normes techniques complémentaires (RTS et ITS)
Le règlement DORA est complété par un ensemble de normes techniques de réglementation (RTS) et normes techniques d'exécution (ITS) adoptées par les autorités européennes de surveillance (ABE, AEAPP, AEMF). Ces normes précisent les modalités opérationnelles du règlement : cadre de gestion des risques TIC, classification des incidents, méthodologie TLPT, format du registre d'accords contractuels, critères de désignation des CTPP.
Les principaux textes délégués et d'exécution publiés à date :
- Règlement délégué (UE) 2024/1774 du 13 mars 2024 : précise les exigences de gestion des risques TIC, notamment le contrôle d'accès aux actifs TIC.
- Normes techniques sur la classification des incidents : seuils de matérialité, modèles de notification.
- Normes techniques sur le registre d'accords contractuels : format et contenu du registre à transmettre aux autorités.
- Normes techniques sur les TLPT : méthodologie, qualifications des testeurs, périmètres de test.
- Normes techniques sur la supervision des CTPP : critères de désignation, pouvoirs du Lead Overseer.
Ces normes techniques constituent le niveau de détail indispensable à la mise en œuvre concrète du règlement. Leur suivi est une tâche permanente pour la fonction de gestion des risques TIC.
En résumé
DORA n'est plus un chantier à préparer. Depuis le 17 janvier 2025, c'est un référentiel applicable, contrôlable et sanctionnable. Pour les institutions financières européennes, 2026 est l'année où la conformité théorique se heurte à la supervision réelle. Pour les acteurs suisses, notamment les banques avec filiales UE, les prestataires TIC servant des clients européens et les groupes financiers transfrontaliers, DORA impose une double lecture avec la Circulaire FINMA 23/01, et une renégociation contractuelle systématique.
Le facteur de réussite le plus souvent cité par les équipes qui ont déjà avancé : la cohérence entre les référentiels. Ne pas traiter DORA, FINMA 23/01 et NIS 2 en silos séparés, mais aligner le cadre de contrôles sur un socle commun, typiquement ISO 27001, et brancher les exigences spécifiques de chaque texte par-dessus.
Le regard terrain d'Alexis Hirschhorn, Senior Trainer, Abilene Academy
« Le piège DORA, en 2026, n'est pas réglementaire : il est culturel. Dans beaucoup de conseils d'administration, la cybersécurité reste mentalement rangée au rayon technique, quelque part entre la DSI et le RSSI. DORA la déplace d'un étage : elle devient une responsabilité personnelle, non délégable, du board. Les institutions qui n'ont pas opéré ce déplacement dans la tête de leurs administrateurs seront en conformité sur le papier et exposées dans les faits. »
Sources et références
- Règlement (UE) 2022/2554 : DORA (EUR-Lex, Parlement européen et Conseil, 14 décembre 2022).
- Règlement délégué (UE) 2024/1774 du 13 mars 2024 (EUR-Lex, Commission européenne) : gestion des risques TIC et contrôle d'accès.
- Circulaire FINMA 2023/1 : Risques et résilience opérationnels – banques (FINMA, en vigueur depuis le 1er janvier 2024).
- Circulaire FINMA 2018/3 : Outsourcing – banques et assureurs (FINMA, en vigueur depuis le 1er avril 2018, révisée).
- Cadre TIBER-EU : Threat Intelligence-based Ethical Red Teaming (Banque centrale européenne, référence pour la méthodologie TLPT).
- Digital Finance Package (Commission européenne) : stratégie européenne sur la finance numérique, cadre dans lequel s'inscrit DORA.
- PECB DORA Lead Manager : fiche de certification (PECB, référentiel officiel de la certification).
