Réponse GRC
À qui s’applique DORA ?
Réponse directe
DORA s’applique à un large éventail d’entités financières établies dans l’UE, dont les établissements de crédit, les établissements de paiement et de monnaie électronique, les entreprises d’investissement, les entreprises d’assurance et de réassurance et leurs intermédiaires, les prestataires de services sur crypto-actifs, les sociétés de gestion de fonds, les plates-formes de négociation, et d’autres encore. Il atteint également les prestataires de services TIC tiers dont ces entités dépendent, et crée un régime de supervision dédié pour les prestataires désignés comme critiques, soumis à une supervision directe par un superviseur principal. Le périmètre est volontairement large : une entité financière française devrait présumer qu’elle est concernée jusqu’à preuve du contraire. DORA est applicable depuis le 17 janvier 2025, sous la supervision de l’AMF et de l’ACPR selon le type d’entité. DORA n’est pas uniforme pour tous. Les entités plus petites et moins complexes appliquent une version simplifiée du cadre de gestion des risques TIC, calibrée à leur taille et à leur risque. Simplifié ne signifie pas exempt : l’obligation subsiste, à une profondeur proportionnée. Les entités les plus grandes et les plus systémiques portent l’intégralité des exigences, y compris les tests avancés.
Questions connexes
- Qu’est-ce que DORA dans le secteur financier ? →
- Qu’est-ce que le test de résilience opérationnelle au sens de DORA ? →
- Qu’est-ce que le registre des tiers TIC au sens de DORA ? →
- Comment fonctionne le signalement des incidents TIC au titre de DORA ? →
- Que sont les tests de pénétration fondés sur les menaces (TLPT) au titre de DORA ? →