DORA regulation: everything you need to know for effective compliance
With the multiplication of cyberattacks and the growing dependence on ICT providers, The DORA regulation (Digital Operational Resilience Act) is now one of the most structuring texts for European finance. Applicable since January 17, 2025, the DORA regulation imposes on European financial players and their service providers a demanding framework in terms of cybersecurity, digital resilience and third party management. Discover its challenges, operational challenges and the keys to sustainable compliance.
What is the DORA regulation?
Adopted in December 2022 as part of the Digital Finance Package, European regulation 2022/2554, better known under the name of DORA (Digital Operational Resilience Act), sets out a harmonized framework to strengthen cybersecurity and digital resilience in the financial sector. Unlike a directive, it is directly applicable in all Member States.
DORA is not limited to protecting against cyberattacks: it imposes the establishment of a global system of information and communication technology (ICT) risk management, covering both cyber risk and technical breakdowns or failures. In particular, financial institutions must: notify major incidents to the authorities, conduct resilience tests, manage their relationships with ICT providers through strengthened contracts and a centralized register, or even share certain information on threats and vulnerabilities.
Finally, the regulation provides for a specific supervisory framework for ICT providers deemed “critical”, whose failure could have a systemic impact on the stability and continuity of European financial services.
Who is affected by DORA?
The scope of application of DORA is very broad: any organization operating in European finance or providing critical ICT services to this sector is now subject to its regulatory requirements. More than 20,000 financial entities and ICT providers are involved in the EU.
- Banks and credit institutions
- Insurance companies and reinsurance
- Fintechs and payment providers
- Management companies and market infrastructures
- Critical third party providers of ICT services are also concerned by DORA and at the heart of The NIS 2 directive (cloud, hosting providers, software publishers, cybersecurity).
The attack against Harvest in February 2025 illustrates this critical dependence on providers. But this is not an isolated case: incidents such as SolarWinds, MoveIt or The fire in OVHcloud data centers have shown how a breach or failure at a supplier can have systemic repercussions. With DORA, these providers must now reach a level of resilience equivalent to that of the financial institutions themselves.
Where are we in 2025?
Since the January 17, 2025, the regulation is fully applicable. In France, The ACPR and The AMF oversee its implementation. Critical third party providers are subject to the same resilience requirements. Financial and disciplinary sanctions are already possible, making DORA compliance an operational imperative, not just preparation.
The key obligations of the DORA regulation
Concretely, the regulation results in five main pillars that change the way in which financial actors manage their digital risks.
ICT risk management
Institutions must put in place a robust framework for identifying and managing risks related to information systems: cyber threats, technical vulnerabilities, critical dependencies.
Concrete example: The fire in the data centers ofOVHcloud in Strasbourg (2021) has shown the importance of also integrating non-cyber technical risks (breakdowns, physical failures) into continuity plans.
Operational resilience testing
DORA requires regular tests, ranging from simple internal audits to crisis exercises and simulations of complex cyberattacks.
Concrete example: After the rift MOVEit (2023), many financial players have conducted secure file transfer tests and cybersecurity audits to ensure that they could quickly detect and contain a similar operation.
Incident Management
Organizations must detect, report and document any major incident to the competent authorities (e.g. ACPR, ENISA, AMF in France).
Concrete example: During a ransomware attack, the speed of notification and the traceability of the measures taken are decisive. The case Colonial Pipeline (2021), although outside the EU, showed the massive economic impact of a poorly managed incident.
Governance and accountability
DORA places responsibility for compliance at the highest level: Board of Directors and General Management. They need to oversee the resilience strategy, validate budgets, and monitor indicators.
Concrete example: some financial institutions have already created DORA committees dedicated within their governance, involving DSI, RSSI, Risk Managers and administrators to avoid compliance being confined to IT.
Monitoring of third party providers
Relationships with ICT suppliers need to be formalized, monitored and audited.
- Centralized provider registers and systematic due diligence
- Regular steering committees
- Resilience indicators and contractual audits
- Business continuity requirement throughout the subcontracting chain
Concrete example: The attack against SolarWinds (2020) revealed the fragility of a poorly controlled subcontracting chain. With DORA, a bank or an insurer must be able to demonstrate that its cloud provider and its tier 2 subcontractors meet the same level of requirements as them.
Le saviez-vous ?
- Selon l’ENISA, plus de 60 % des incidents majeurs dans la finance en Europe sont liés à des prestataires TIC (cloud, logiciels, hébergeurs).
- Le coût moyen d’une panne de services critiques dans le secteur bancaire est estimé à plusieurs millions d’euros par heure (source : Ponemon Institute).
- En 2023, le ransomware LockBit a visé plusieurs acteurs financiers européens, rappelant que les cybercriminels ciblent particulièrement ce secteur très dépendant de la continuité de service.
- DORA oblige désormais à documenter et tester ces scénarios régulièrement, afin d’éviter qu’une cyberattaque ou une défaillance technique ne mette en péril la stabilité du système financier européen.
DORA vs ISO 27001 : une portée élargie
De nombreux RSSI estiment que DORA s’appuie sur des principes déjà présents dans l’ISO 27001, notamment en matière de sécurité de l’information et de gestion des risques. Les deux cadres exigent la mise en place de politiques, de contrôles et d’audits réguliers pour protéger les actifs informationnels.
Cependant, DORA va plus loin sur plusieurs points :
- La résilience opérationnelle : là où ISO 27001 se concentre sur la gestion de la sécurité de l’information, DORA impose une approche plus large incluant la continuité d’activité et la restauration rapide des systèmes critiques en cas d’incident.
- La gestion des prestataires TIC : DORA introduit des obligations contractuelles renforcées, la tenue d’un registre des fournisseurs critiques et une supervision européenne des prestataires jugés « systémiques » (ex. grands fournisseurs de cloud).
- La gouvernance : contrairement à ISO 27001, qui peut être perçue comme un projet technique ou organisationnel, DORA place explicitement la responsabilité au niveau du Conseil d’administration, transformant la résilience numérique en enjeu stratégique.
En théorie, ISO 27001 donne le cadre, DORA impose l’application opérationnelle et la supervision réglementaire. En pratique, une entreprise déjà certifiée ISO 27001 dispose d’une base solide pour répondre à DORA. Mais elle devra compléter son dispositif par des mesures de résilience opérationnelle, de pilotage des tiers et de gouvernance.
Pour aller plus loin, découvrez notre article dédié : ISO 27001 : la norme de référence en sécurité de l’information.
Défis opérationnels et coûts de conformité
La mise en œuvre de DORA se heurte à plusieurs difficultés pratiques qui concernent l’ensemble du secteur financier.
Gestion des prestataires critiques
Imposer des clauses conformes à DORA aux grands fournisseurs de cloud ou de services numériques non européens (Microsoft, AWS, Google, etc.) reste un véritable défi contractuel. Les petites et moyennes institutions financières peinent à négocier avec ces acteurs dominants, ce qui peut créer un déséquilibre entre les exigences réglementaires et la réalité du marché.
Reporting complexe
La tenue d’un registre centralisé des prestataires TIC est une obligation clé, mais elle s’avère particulièrement complexe pour les groupes internationaux comptant plusieurs milliers de fournisseurs. La question de la traçabilité des sous-traitants de rang 2 ou 3 reste floue : jusqu’où une institution doit-elle remonter dans la chaîne pour se conformer pleinement ?
Outils émergents
Faute d’outil européen unifié, de nombreux acteurs utilisent encore des fichiers Excel, peu adaptés à la volumétrie et à la complexité des données. Pour y remédier, de nouvelles plateformes comme Sedona, Prevalent ou DORA Register voient le jour. Elles permettent de mutualiser les évaluations, centraliser les informations et automatiser une partie des due diligence. Toutefois, leur adoption reste inégale et leur interopérabilité avec les systèmes existants constitue un enjeu majeur.
Coûts titanesques
La mise en conformité avec DORA entraîne des coûts très élevés, aussi bien pour la mise en place initiale que pour le maintien du dispositif (audits, formations, reporting, outillage). Certaines institutions accusent un retard important par manque de ressources financières ou humaines, préférant attendre des clarifications du régulateur avant d’investir massivement. Les établissements considérés comme « small and non-complex » bénéficient d’un report d’application jusqu’en 2030, mais pour les autres, le compte à rebours a déjà commencé.
Enjeux organisationnels et compétences
Au-delà des coûts financiers, DORA implique une transformation interne : formation des équipes, montée en compétences des contrôleurs et auditeurs, implication accrue du Conseil d’administration. Le déficit de profils techniques spécialisés (cloud, cybersécurité, gestion des risques IT) rend la conformité encore plus difficile à atteindre.
Top 5 des défis DORA pour les institutions financières
Prestataires critiques difficiles à contrôler
👉 Négocier des clauses conformes avec les géants du cloud (Microsoft, AWS, Google) reste un défi.
Reporting complexe et volumineux
👉 Tenir un registre complet des fournisseurs et de leurs sous-traitants (rang 2/3) est une tâche titanesque.
Outils de suivi insuffisants
👉 Excel ne suffit plus. Des plateformes comme Sedona, Prevalent ou DORA Register émergent, mais leur adoption est encore inégale.
Coûts de mise en conformité élevés
👉 Budgets importants nécessaires pour les audits, formations, outils et ressources internes.
Manque de compétences spécialisées
👉 Pénurie de profils en cybersécurité, cloud et risques IT pour mener à bien la conformité.
Les clés d’une mise en conformité DORA efficace
Pour répondre aux exigences de DORA, les établissements doivent :
- Cartographier leurs prestataires critiques et évaluer leur maturité : identifier les dépendances les plus sensibles et mesurer le niveau de résilience de chaque fournisseur.
- Mettre en place des comités de pilotage dédiés aux fournisseurs TIC : instaurer un dialogue régulier, documenté et traçable.
- Renégocier les contrats avec des clauses couvrant toute la chaîne de sous-traitance : garantir que les obligations DORA descendent jusqu’aux prestataires de rang 2 et 3.
- Maintain a centralized register of service providers and organize due diligence : have a reliable and continuously updated base.
- Conduct crisis exercises involving service providers : test joint reactivity in the event of a failure or cyber attack.
- Train control teams and administrators to IT and cybersecurity challenges: raising the level of internal competence.
- Define resilience indicators : implement KPIs (average recovery time, availability rate, notification deadlines) to objectively measure compliance.
- Investing in specialized tools : adopt platforms for ICT risk management and provider monitoring, which are more effective than Excel to centralize information and automate reporting.
- Encourage the sharing of sectoral information : take advantage of cooperation and exchange mechanisms on cyber threats to anticipate attacks.
- Integrating DORA into business strategy : make it a strategic subject monitored at the level of the Board of Directors and not a simple regulatory constraint.
Compliance with DORA is not a one-off project but a continuous process, which must be long-term and managed at the highest level.
Anticipate with Egerie: your solution for DORA
The Egerie platform supports financial players in their approach to compliance with the DORA regulation by transforming regulatory constraints into a governance and performance lever.
- ICT risk mapping to identify and visualize critical dependencies.
- Modeling incident scenarios to anticipate impacts and prioritize actions.
- Compliance dashboards that provide a clear and real-time view of progress.
- Integrated management of action plans and collaborative management with internal stakeholders.
Do you want to assess your level of preparation for DORA? Request a free demo today.
DORA Regulation FAQ
What is DORA?
A European regulation applicable since January 2025, aimed at strengthening cybersecurity and digital resilience in the financial sector.
Who is affected by the DORA regulation?
All financial institutions and their critical ICT providers.
What are the differences between DORA and ISO 27001?
DORA includes operational continuity, the monitoring of service providers and the increased responsibility of managers.
What are DORA's major challenges?
The management of third party providers, complex reporting, the high cost and the development of team skills.
How does Egerie help with compliance?
Thanks to an integrated, automated and collaborative risk management platform.
