Diligence Software

Reporting réglementaire DORA : registre TIC et reporting d'incidents

Diligence aide les établissements financiers européens à préparer et transmettre leurs obligations de reporting DORA — registres de risques liés aux tiers prestataires TIC, notifications d'incidents majeurs et rapports de renseignement sur les menaces — dans les délais et au bon format.

See pricingTalk to our team

Obligations de reporting DORA pour les établissements financiers

Le règlement sur la résilience opérationnelle numérique (DORA — règlement UE 2022/2554) est entré en vigueur le 17 janvier 2025. Il s'applique à un large périmètre d'entités financières — banques, entreprises d'investissement, établissements de paiement, entreprises d'assurance, prestataires de services sur crypto-actifs, et plus encore — et introduit des obligations de reporting structurées sur la gestion des risques TIC et les incidents opérationnels.

Notification des incidents TIC majeurs

Les établissements financiers doivent classifier et notifier les incidents majeurs liés aux TIC à leur autorité compétente nationale (ACN) dans des délais définis. Pour les banques et entreprises d'investissement en France, l'ACN est l'ACPR. La notification suit une structure en trois phases : notification initiale dans les 4 heures suivant la classification, rapport intermédiaire dans les 72 heures, et rapport final dans le mois suivant la résolution.

Les autorités européennes de surveillance (ABE, AEMF, AEAPP) ont défini des formulaires de reporting communs. Ces formulaires utilisent des champs de données structurés plutôt que du texte libre, et les transmissions doivent passer par les canaux de reporting prudentiel standard — ONEGATE pour les entités françaises.

Registre des risques liés aux tiers prestataires TIC

Les établissements doivent tenir un Registre des informations (RoI) couvrant tous les accords contractuels avec les prestataires de services TIC tiers. Le registre doit inclure les coordonnées du prestataire, la classification du service, l'évaluation de la criticité, les références contractuelles et les informations sur les risques pour chaque accord. Le registre complet doit être transmis annuellement à l'ACN dans un format structuré spécifié.

Reporting TLPT (tests de pénétration pilotés par la menace)

Les établissements importants doivent réaliser des tests de pénétration pilotés par la menace (TLPT) au moins tous les trois ans et communiquer les résultats à leur ACN. Le périmètre du test, la méthodologie et les conclusions doivent être documentés et transmis dans un format structuré. TIBER-EU et ses équivalents nationaux définissent le cadre TLPT.

Notification volontaire des cybermenaces significatives

DORA établit également une voie de notification volontaire pour les cybermenaces significatives qui ne se sont pas encore matérialisées en incidents majeurs. Les établissements peuvent les signaler à leur ACN sur une base volontaire ; l'ACN peut partager des informations anonymisées avec d'autres autorités compétentes et l'ENISA.

DORA et ACPR : obligations des établissements français

Pour les banques, établissements de paiement, entreprises d'investissement et assureurs français, les obligations DORA sont supervisées par l'ACPR. Les notifications d'incidents et le registre des prestataires TIC tiers sont transmis via ONEGATE ou directement à l'ACPR par leur canal sécurisé désigné.

Interaction avec le reporting ACPR existant

De nombreuses obligations de reporting DORA se déroulent en parallèle avec le reporting prudentiel ACPR existant. Les établissements qui utilisent déjà Diligence pour les transmissions COREP, FINREP ou prudentielles ACPR disposent d'une connexion ONEGATE et d'une structure d'accès utilisateurs existantes qui peuvent être étendues pour couvrir les notifications DORA.

Calendrier DORA pour les établissements français

Interaction avec NIS2

DORA s'applique en tant que lex specialis par rapport à NIS2 (la directive sur la sécurité des réseaux et des systèmes d'information). Les entités financières soumises à DORA sont exemptées des obligations correspondantes de reporting d'incidents NIS2 — DORA est le cadre applicable pour les établissements financiers réglementés.

Registre des prestataires TIC tiers : ce qui doit y figurer

Le Registre des informations (RoI) est la nouvelle obligation DORA la plus significative sur le plan opérationnel pour de nombreux établissements. Il couvre tous les prestataires de services TIC tiers — pas seulement ceux jugés critiques — et doit être structuré conformément aux formulaires définis par les AES.

Champs de données requis par accord

Transmission annuelle

Le registre complet doit être transmis annuellement à l'ACN. Les établissements doivent également notifier à l'ACN toute modification significative d'un accord critique dans des délais définis. Le registre est un document vivant — les établissements doivent disposer d'un processus pour le maintenir en temps réel, et pas seulement lors de la transmission annuelle.

Pourquoi choisir Diligence pour le reporting DORA

Connexion ONEGATE existante pour les établissements français

Les établissements français qui utilisent déjà Diligence pour COREP ou FINREP disposent d'une connexion ONEGATE, d'une structure utilisateurs et d'un flux de transmission établis. Étendre cette infrastructure pour couvrir les notifications d'incidents DORA évite de construire un canal de reporting séparé pour une nouvelle obligation.

Données structurées, et non du texte libre

Les formulaires de reporting DORA utilisent des champs de données structurés. Diligence est conçu spécifiquement pour la préparation et la transmission de données réglementaires structurées — les mêmes principes qui sous-tendent le reporting XBRL s'appliquent aux formulaires de notification DORA.

Plateforme unique pour l'ensemble du reporting réglementaire

Gérer les obligations COREP, FINREP, Solvabilité II et DORA dans des outils séparés crée un risque opérationnel. La plateforme Diligence consolide le reporting réglementaire dans un environnement unique — un seul flux de transmission, une seule piste d'audit, une seule connexion ONEGATE.

Prêt pour l'évolution réglementaire

Les normes techniques de DORA sont encore en cours de finalisation et de mise à jour par les AES. Diligence suit les évolutions réglementaires et met à jour la plateforme — le même engagement qui maintient les taxonomies XBRL à jour s'applique à l'évolution des formulaires DORA.

Foire aux questions : reporting DORA

DORA s'applique-t-il à tous les établissements financiers ou uniquement aux grandes banques ?

DORA s'applique à un large périmètre d'entités financières — banques, entreprises d'investissement, établissements de paiement, établissements de monnaie électronique, entreprises d'assurance, prestataires de services sur crypto-actifs et autres. Le principe de proportionnalité s'applique : certaines obligations (comme le TLPT) ne s'appliquent qu'aux établissements importants, mais la notification d'incidents TIC et le registre des prestataires tiers s'appliquent largement.

Quel est le calendrier de notification des incidents TIC majeurs dans le cadre de DORA ?

Notification initiale : dans les 4 heures suivant la classification d'un incident comme majeur. Rapport intermédiaire : dans les 72 heures suivant la classification initiale. Rapport final : dans le mois suivant la résolution de l'incident. Ce sont des délais serrés qui nécessitent des flux de travail de reporting préétablis, et non des réponses improvisées.

Comment DORA interagit-il avec les obligations de reporting ACPR existantes ?

DORA ajoute de nouvelles obligations de reporting aux obligations prudentielles et statistiques existantes. Il ne remplace pas les obligations ACPR existantes. Les établissements français dans le périmètre doivent se conformer aux deux — le reporting DORA passe par l'ACPR en tant qu'autorité nationale compétente.

Diligence peut-il aider à la fois pour le registre TIC et les notifications d'incidents ?

Oui. La plateforme Diligence prend en charge à la fois la préparation des données structurées pour le registre des prestataires TIC tiers et les flux de travail de notification pour les incidents majeurs. Les établissements qui utilisent déjà Diligence pour COREP ou FINREP peuvent étendre leur configuration ONEGATE existante pour couvrir les obligations DORA.

Préparez votre reporting DORA avec Diligence

Notifications d'incidents TIC, transmissions du registre des prestataires tiers, intégration ONEGATE — gérez toutes les obligations DORA dans la même plateforme que vous utilisez pour COREP et FINREP.

See pricingTalk to our team