Régulations applicables

DORA — Règlement UE 2022/2554 sur la résilience opérationnelle numérique

Règlement UE 2022/2554 sur la résilience opérationnelle numérique du secteur financier. Concerne les hébergeurs servant des banques, assurances, fonds.

0 acteurs vérifiés sur ce critère

14 acteurs qui le revendiquent

Définition

DORA (Digital Operational Resilience Act) est le règlement UE 2022/2554 sur la résilience opérationnelle numérique du secteur financier européen. En vigueur depuis le 17 janvier 2025, il s'applique aux banques, assurances, sociétés de bourse, gestionnaires d'actifs, et à leurs prestataires tiers critiques de services TIC (Critical Third-Party Service Providers — CTPP) — y compris les hébergeurs cloud qui les servent.

Le règlement couvre cinq piliers :

Gouvernance et organisation des risques TIC.
Gestion des incidents TIC — détection, classification, reporting aux autorités.
Tests de résilience — Threat-Led Penetration Testing (TLPT) tous les 3 ans pour les entités importantes.
Gestion des risques tiers — Register of Information maintenu par chaque entité financière, due diligence renforcée sur les CTPP.
Partage d'informations — entre acteurs financiers européens.

Les autorités de supervision (BCE pour les banques, EIOPA pour les assurances, ESMA pour les marchés) peuvent désigner des prestataires comme CTPP sous supervision directe — c'est le cas pour les hyperscalers (AWS, GCP, Azure) servant massivement le secteur financier européen.

Pourquoi (ou pourquoi pas) c'est important pour un hébergeur HDS

DORA est non concerné par défaut pour un acteur santé pur. C'est un règlement secteur financier. Pour un hébergeur HDS, DORA devient pertinent uniquement dans deux cas :

L'hébergeur sert aussi le secteur financier (mutuelles avec activité bancaire/assurance, insurtech santé, fintech médicale).
L'hébergeur est lui-même désigné CTPP par les autorités européennes (cas extrêmement rare hors hyperscalers).

Pour les hébergeurs HDS qui servent uniquement le secteur santé (CHU, EHPAD, éditeurs SaaS santé sans dimension assurance), DORA n'apporte rien que n'apporte déjà ISO 27001 + HDS + NIS2. Le coût n'est pas justifié sauf intention commerciale finance.

Comment ce critère est attribué dans le comparateur

✓ Vérifié — l'acteur publie une attestation DORA-ready avec rapport d'audit indépendant ; OU est désigné CTPP par les autorités européennes.
◆ Revendiqué — mention DORA sans audit.
○ Non concerné — acteur santé pur sans clientèle financière — statut par défaut majoritaire.
— Non documenté — orientation commerciale ambiguë.

Pour quel profil c'est critique

Profil	Niveau d'exigence
Hébergeur servant mutuelles avec activité bancaire/assurance	Important
Hébergeur servant fintech santé / insurtech	Important
Hébergeur santé pur	Non concerné

Sources officielles

Règlement UE 2022/2554 — eur-lex.europa.eu/eli/reg/2022/2554/oj.
EIOPA (assurance) — eiopa.europa.eu/digital-operational-resilience-act.
ESMA (marchés) — esma.europa.eu.

Hébergeurs satisfaisant ce critère

◐ Revendiqué sur source publique (14)

Lecture des trois états. ✓ Vérifié = source publique citée (page officielle, registre ANS / ANSSI / Pappers / RIPE / PeeringDB). ◐ Revendiqué = mention publique partielle, sans verbatim ferme à la date de cet audit. ◔ Démarche en cours = engagement public daté. L'absence de mention n'implique pas l'absence du service — voir notre méthodologie d'équité.