Quelle est la différence entre le Cyber Resilience Act (CRA) et DORA ?
Réponse directe
DORA régit le risque TIC des entités financières — banques, assureurs, sociétés d'investissement — et de leurs fournisseurs tiers critiques. Le Règlement sur la cyberrésilience régit la sécurité des produits comportant des éléments numériques mis sur le marché. Une entité financière qui fabrique aussi un produit connecté relève des deux. Les délais de signalement partagent les étapes 24 h et 72 h, mais le destinataire, le déclencheur et le délai du rapport final diffèrent.
Key Facts
- DORA = risque TIC des entités financières ; RCR = sécurité des produits pour les fabricants.
- Alerte précoce DORA : la classification comme majeur doit intervenir sans retard injustifié (environ 24 h après prise de connaissance) ; le délai de 4 h pour la notification initiale démarre à cette classification — pas à la détection (RTS (UE) 2025/301, art. 5).
- Alerte précoce RCR : 24 heures nettes à compter de la prise de connaissance — délai absolu, aucun report week-end ou jour férié.
- Contraste DORA : les entités financières standard peuvent reporter au jour ouvrable suivant les signalements tombant un week-end ou un jour férié (RTS (UE) 2025/301, art. 5). Le RCR n'offre aucun report équivalent.
- Les deux : notification intermédiaire sous 72 heures ; rapport final sous un mois.
- Signalements RCR adressés à l'ENISA + CSIRT national (plateforme unique) ; signalements DORA à l'autorité financière compétente.
- Une entité financière qui fabrique aussi des produits connectés peut relever des deux — obligations cumulatives, pas redondantes.
DORA et le RCR se situent à des niveaux différents de la pile réglementaire (art. 1 RCR ; art. 1 DORA) : | | Règlement sur la cyberrésilience | DORA | |---|---|---| | **Instrument** | Règlement (UE) 2024/2847 | Règlement (UE) 2022/2554 | | **Objet** | Sécurité des produits comportant des éléments numériques | Risque TIC des entités financières | | **Périmètre** | Fabricants, importateurs, distributeurs | Entités financières et fournisseurs tiers TIC critiques | | **Obligation centrale** | Sécurité du produit sur tout le cycle de vie | Gestion du risque TIC, supervision des tiers, signalement des incidents | | **Objet du signalement** | Vulnérabilités exploitées activement · incidents graves | Incidents majeurs liés aux TIC | | **Alerte précoce** | 24 heures à compter de la prise de connaissance (absolue, sans report week-end) | Classification comme majeur sans retard injustifié (environ 24 h) ; notification initiale sous 4 h après cette classification | | **Notification intermédiaire** | 72 heures | 72 heures | | **Rapport final** | 14 jours après correction · 1 mois (incident) | 1 mois | | **Destinataire** | ENISA + CSIRT national (plateforme unique) | Autorité financière compétente | | **Application complète** | 11 décembre 2027 (signalement à compter du 11 sept. 2026) | Déjà en vigueur | **Le délai DORA démarre à la classification, pas à la détection.** Le délai de 4 heures pour la notification initiale commence au moment où l'entité classe l'incident comme majeur. Mais cette classification doit intervenir « sans retard injustifié » (typiquement sous 24 heures après prise de connaissance). **DORA autorise les reports week-end ; le RCR non.** Les entités financières standard peuvent reporter au jour ouvrable suivant les signalements tombant un week-end ou un jour férié en vertu du règlement délégué (UE) 2025/301, article 5. Le RCR n'a pas d'équivalent : le délai de 24 heures court dès la prise de connaissance, sept jours sur sept.