# DORA — Règlement UE 2022/2554 sur la résilience opérationnelle numérique

> Catégorie : **Régulations applicables** · Slug : `dora` · Source canonique : <https://www.hebergeurs-de-donnees-de-sante.fr/criteres/dora/>

**Définition courte** : Règlement UE 2022/2554 sur la résilience opérationnelle numérique du secteur financier. Concerne les hébergeurs servant des banques, assurances, fonds.

## Statistiques sur les 404 hébergeurs HDS

- ✓ Vérifiés sur source publique : **0**
- ◆ Revendiqués sur source publique : **14**

## Définition

**DORA** (*Digital Operational Resilience Act*) est le **règlement UE 2022/2554** sur la résilience opérationnelle numérique du secteur financier européen. En vigueur depuis le **17 janvier 2025**, il s'applique aux banques, assurances, sociétés de bourse, gestionnaires d'actifs, et à leurs **prestataires tiers critiques de services TIC** (*Critical Third-Party Service Providers* — CTPP) — y compris les hébergeurs cloud qui les servent.

Le règlement couvre cinq piliers&nbsp;:

1. **Gouvernance et organisation des risques TIC.**
2. **Gestion des incidents TIC** — détection, classification, reporting aux autorités.
3. **Tests de résilience** — *Threat-Led Penetration Testing* (TLPT) tous les 3 ans pour les entités importantes.
4. **Gestion des risques tiers** — *Register of Information* maintenu par chaque entité financière, due diligence renforcée sur les CTPP.
5. **Partage d'informations** — entre acteurs financiers européens.

Les autorités de supervision (BCE pour les banques, EIOPA pour les assurances, ESMA pour les marchés) peuvent désigner des prestataires comme **CTPP** sous supervision directe — c'est le cas pour les hyperscalers (AWS, GCP, Azure) servant massivement le secteur financier européen.

## Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS

DORA est **non concerné par défaut** pour un acteur santé pur. C'est un règlement secteur financier. Pour un hébergeur HDS, DORA devient pertinent uniquement dans deux cas&nbsp;:

1. **L'hébergeur sert aussi le secteur financier** (mutuelles avec activité bancaire/assurance, *insurtech* santé, fintech médicale).
2. **L'hébergeur est lui-même désigné CTPP** par les autorités européennes (cas extrêmement rare hors hyperscalers).

Pour les hébergeurs HDS qui servent uniquement le secteur santé (CHU, EHPAD, éditeurs SaaS santé sans dimension assurance), **DORA n'apporte rien que n'apporte déjà ISO 27001 + HDS + NIS2**. Le coût n'est pas justifié sauf intention commerciale finance.

## Comment ce critère est attribué dans le comparateur

- **✓ Vérifié** — l'acteur publie une attestation DORA-ready avec rapport d'audit indépendant ; OU est désigné CTPP par les autorités européennes.
- **◆ Revendiqué** — mention DORA sans audit.
- **○ Non concerné** — acteur santé pur sans clientèle financière — statut par défaut majoritaire.
- **— Non documenté** — orientation commerciale ambiguë.

## Pour quel profil c'est critique

| Profil | Niveau d'exigence |
|---|---|
| Hébergeur servant mutuelles avec activité bancaire/assurance | **Important** |
| Hébergeur servant fintech santé / insurtech | **Important** |
| Hébergeur santé pur | **Non concerné** |

## Sources officielles

- **Règlement UE 2022/2554** — [eur-lex.europa.eu/eli/reg/2022/2554/oj](https://eur-lex.europa.eu/eli/reg/2022/2554/oj).
- **EIOPA** (assurance) — [eiopa.europa.eu/digital-operational-resilience-act](https://www.eiopa.europa.eu/regulation-supervision/insurance/digital-operational-resilience-act-dora_en).
- **ESMA** (marchés) — [esma.europa.eu](https://www.esma.europa.eu/policy-activities/digital-finance-and-innovation/digital-operational-resilience-act-dora).

## Hébergeurs satisfaisant ce critère

### ◆ Revendiqué sur source publique (14)

- [ACRONIS INTERNATIONAL GMBH](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/acronis-international-gmbh/)
- [AIRON TELEMATICA](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/airon-telematica/)
- [ATOS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/atos/)
- [CHU DE MONTPELLIER](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/chu-de-montpellier/)
- [CLEVER CLOUD](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/clever-cloud/)
- [CLOUD TEMPLE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/cloud-temple/)
- [DELETEC](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/deletec/)
- [I VISION](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/i-vision/)
- [LECPAC-CONSULTING](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/lecpac-consulting/)
- [NETEXPLORER](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/netexplorer/)
- [ODIGO](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/odigo/)
- [OODRIVE SAS](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/oodrive-sas/)
- [SIMPLICIT](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/simplicit/)
- [UNITEL FRANCE](https://www.hebergeurs-de-donnees-de-sante.fr/hebergeurs/unitel-france/)

## Méthodologie et limites

- ✓ **Vérifié** = source publique citée (registre officiel, verbatim site acteur).
- ◆ **Revendiqué** = mention déclarative non vérifiée indépendamment.
- ◐ **En cours** = démarche datée publiquement.
- — **Non documenté** = information non trouvée. **N'implique pas l'absence du service**.
- Méthodologie complète : <https://www.hebergeurs-de-donnees-de-sante.fr/verification/>
- Équité Guardis vs concurrents : <https://www.hebergeurs-de-donnees-de-sante.fr/equite-methodologique/>

---

_Comparateur édité par Hasgard SARL. Publication éditoriale indépendante. Licence CC BY-SA 4.0._
_Variante Markdown brut : ajoutez `.md` à l'URL de n'importe quelle page._