Donneespersonnelles.fr

Plateforme de veille en conformite numerique

Vendredi 10 juillet 2026
DORA / Finance

Actualité DORA 2026 : résilience numérique

Actualité DORA 2026 : normes techniques, supervision, résilience opérationnelle numérique. Mis à jour quotidiennement.

Suivez l’actualité DORA 2026 : normes techniques RTS/ITS, supervision des prestataires TIC, résilience opérationnelle numérique du secteur financier.

Dernières actualités

3 juillet 2026 — Secteur financier : accord ANSSI-ACPR-Banque de France sur la cyber (DORA/NIS2)

Art. 19 DORA Art. 23 NIS2

Le 3 juillet 2026, Vincent Strubel (directeur general de l'ANSSI), Emmanuelle Assouan (secretaire generale de l'ACPR) et Denis Beau (premier sous-gouverneur de la Banque de France) ont signe un accord renforcant l'echange d'informations et la cooperation en matiere de securite des systemes d'information du secteur financier. L'accord s'organise autour de trois axes : incidents et menaces cyber, controles et assistance mutuelle, gestion de crise. Il operationnalise les missions confiees a ces autorites par le reglement DORA sur la resilience operationnelle numerique et par la directive NIS2. L'ANSSI, via le CERT-FR, pilote la reponse technique aux incidents touchant les entites financieres, tandis que l'ACPR veille au respect de DORA et la Banque de France a la resilience des infrastructures. Cette articulation NIS2 rejoint les obligations de notification d'incident majeur deja prevues par DORA pour les etablissements assujettis. Concretement, un incident ICT majeur pourra etre instruit conjointement par les trois autorites, reduisant les angles morts entre supervision prudentielle et reponse cyber nationale.

Ce que ca change pour vous : les etablissements financiers doivent aligner leur procedure de notification d'incident sur les canaux DORA (ACPR) et NIS2 (ANSSI), desormais coordonnes. DORA : guide complet du reglement sur la resilience operationnelle numeriqueDORA et NIS2 : articulation et double conformite financiere


26 juin 2026 — DORA : la BCE durcit le ton sur les tests de résilience face aux risques IA

Art. 26 DORA Art. 32 RGPD

Lors d'interventions rapportées le 24 juin 2026, la Banque centrale européenne (BCE) a appelé les banques de la zone euro à revoir leurs tests de résilience opérationnelle au regard des risques liés à l'intelligence artificielle. Frank Elderson, membre du directoire, a souligné que plus de 85 % des banques supervisées utilisent désormais l'IA, ce qui transforme le paysage des cybermenaces. La BCE positionne le cadre TIBER-EU comme modèle des tests d'intrusion fondés sur la menace (TLPT) exigés par DORA, déplaçant l'évaluation de la résilience vers des exercices de simulation d'attaques réalistes plutôt que des tests techniques isolés. Opérationnellement, les établissements concernés devront documenter et étendre leur programme de tests avancés et y intégrer les scénarios d'attaque assistée par IA. Cette exigence de résilience rejoint les obligations de sécurité de l'article 32 du RGPD lorsque des données personnelles sont en jeu.

Ce que ça change pour vous : revoyez votre plan de tests de résilience DORA pour y intégrer les menaces liées à l'IA et préparez-vous à un TLPT de type TIBER-EU. Tests de résilience DORA : TLPT et obligationsDORA : guide complet du règlement sur la résilience opérationnelleTests d'intrusion (pentest) : obligations légales, méthodologie


10 juin 2026 — Risques IA : l'AMF appelle les acteurs financiers à renforcer leur cyber

L'Autorité des marchés financiers (AMF) a appelé, le 3 juin 2026, les acteurs des marchés financiers à renforcer leurs dispositifs de cybersécurité face à l'évolution rapide des menaces liées à l'intelligence artificielle. Le régulateur souligne que certains modèles d'IA peuvent accélérer l'identification des vulnérabilités, faciliter leur exploitation et contribuer à l'industrialisation des campagnes malveillantes, dans un secteur où le risque cyber est déjà qualifié de « très élevé » dans sa cartographie. L'anticipation des nouveaux risques et la résilience opérationnelle des professionnels régulés figurent parmi les priorités d'action de l'AMF pour 2026. Sur le plan opérationnel, le régulateur annonce des actions de sensibilisation au second semestre 2026 — dont un webinaire pédagogique prévu le 1er juillet — auprès des sociétés de gestion de portefeuille, des prestataires de financement participatif et des prestataires de services sur actifs numériques, ainsi qu'une enquête sur les mesures prises ou prévues face aux risques liés aux modèles d'IA. Cet avertissement prolonge le cadre du règlement DORA, applicable depuis le 17 janvier 2025, qui impose aux entités financières une gestion structurée du risque informatique, et croise les obligations naissantes du règlement IA (AI Act).

Ce que ça change pour vous : si vous êtes une entité financière régulée, intégrez le scénario « attaque assistée par IA » à votre cartographie des risques TIC et à vos tests de résilience DORA, et préparez-vous à documenter ces mesures pour l'enquête de l'AMF. DORA : guide complet du règlement sur la résilience opérationnelle numériqueEU AI Act : guide complet du règlement européen sur l'intelligence artificielle


4 juin 2026 — DORA : 3 383 incidents TIC majeurs recensés, un tiers transfrontières

Art. 19 DORA

Les trois autorités européennes de surveillance (ABE, AEAPP et AEMF) ont publié le premier rapport annuel sur les incidents liés aux technologies de l'information et de la communication (TIC) majeurs déclarés au titre du règlement DORA. Pour la première année d'application, 3 383 incidents majeurs ont été notifiés par les entités financières de l'Union (soit 0,18 par entité assujettie). Environ un tiers de ces incidents ont eu un impact transfrontière, ce qui illustre l'interconnexion croissante du secteur via des infrastructures et des services partagés. Près d'un tiers des incidents trouvent leur origine dans une défaillance liée à un tiers (prestataire TIC, opérateur d'infrastructure, autre établissement financier), tandis que 10 % seulement relèvent d'un incident de cybersécurité ; les causes principales restent les pannes de système et les événements externes. L'impact direct sur les clients et les transactions est jugé globalement limité, mais les AES alertent sur la montée des outils dopés à l'IA qui rehaussent l'enjeu cyber. Sur le plan opérationnel, ce premier bilan agrégé confirme la concentration du risque sur les prestataires tiers et la dimension transfrontière, deux axes structurants de la notification prévue à l'article 19 de DORA.

Ce que ça change pour vous : révisez votre procédure de classification et de notification des incidents TIC majeurs (délais DORA) et cartographiez vos dépendances aux prestataires tiers, principale source de risque identifiée dans ce premier rapport. DORA : guide complet du règlement sur la résilience opérationnelle numériqueActualité DORA 2026 : résilience numériqueTests de résilience DORA : TLPT et obligationsDORA et cloud : exigences pour les services externalisés


26 mai 2026 — BCE : reunion d'urgence le 26 mai sur les risques IA cyber pour les banques

La Banque centrale europeenne convoque ce mardi 26 mai 2026 une reunion dediee avec les 111 plus grandes banques de la zone euro pour discuter des risques de cybersecurite que font peser les derniers modeles d'IA, Mythos (Anthropic) en tete, rapporte next.ink en reprenant le Financial Times. Frank Elderson, vice-president du conseil de surveillance prudentielle de la BCE, indique que les reunions de la BCE dediees a un theme specifique sont rares et que le sujet justifie cette format. La BCE entend faire partager aux banques europeennes les retours d'experience des banques americaines deja utilisatrices de ces outils, et rappelle que l'absence d'acces a Mythos en Europe n'est pas une excuse pour rester inactif : des acteurs malveillants pourraient bientot disposer de capacites equivalentes. Le vice-president pointe en particulier le delai de patch management : la retro-ingenierie d'un correctif de securite, qui pouvait prendre plusieurs jours ou semaines, est desormais realisable par IA en une trentaine de minutes, ce qui raccourcit drastiquement la fenetre exploitable. L'episode confirme l'attention soutenue des superviseurs prudentiels europeens sur le pilier resilience operationnelle du reglement DORA et sur la gestion des risques lies aux technologies IA generatives integres dans les chaines de production des etablissements financiers.

Ce que ca change pour vous : si vous etes etablissement financier supervise au titre de DORA, attendez-vous a ce que vos autorites competentes durcissent les attentes sur les delais de correction de vulnerabilites et sur l'inventaire des composants logiciels (S-BOM). Reactualisez votre cartographie des outils IA tiers, les clauses de remediation avec vos prestataires TIC critiques, et integrez un scenario "vulnerabilite massive decouverte par IA" dans vos exercices de continuite. DORA : guide complet du règlement sur la résilience opérationnelle numériqueDORA et NIS2 : articulation et double conformité financièreDORA et RGPD : gérer les incidents données personnellesNotification incidents DORA : procédure et délais


6 avril 2026 — DORA : phase d'enforcement active, premières sanctions en vue

Art. 28 DORA Art. 35 DORA
Source : Regulation-dora

La période de tolérance informelle qui caractérisait la supervision DORA en 2025 est terminée. Depuis début 2026, les autorités nationales compétentes conduisent des contrôles actifs, vérifient automatiquement les données du Registre d'information (RoI) et émettent les premières astreintes. La date limite de soumission du RoI pour mars 2026 est passée. Les entités non conformes s'exposent à des amendes pouvant atteindre 2 % du chiffre d'affaires annuel mondial ou 10 millions d'euros, et les prestataires TIC tiers critiques jusqu'à 5 millions d'euros plus 1 % du CA journalier moyen par jour de non-conformité, pour une durée maximale de six mois. DORA concerne plus de 22 000 entités financières et prestataires TIC dans l'UE.

Vérifiez immédiatement la complétude de votre Registre d'information DORA et le calendrier de soumission à votre autorité nationale compétente. DORA : guide complet du règlement sur la résilience opérationnelle numériqueDORA et cloud : exigences pour les services externalisésDORA : qui est concerné par le règlement


3 avril 2026 — EBA : François-Louis Michaud prend ses fonctions de président

Règlement DORA Art. 2
Source : EBA

François-Louis Michaud a pris ses fonctions de président de l'Autorité bancaire européenne (EBA). Sa nomination intervient dans un contexte de montée en charge des obligations DORA, dont l'EBA est l'une des trois autorités de supervision conjointe (avec l'ESMA et l'EIOPA). Parallèlement, l'EBA annonce une simplification du processus d'approbation réglementaire pour les changements de modèles IRB (Internal Ratings-Based), visant à réduire la charge administrative pour les établissements financiers. La gouvernance de l'EBA est déterminante pour l'évolution des normes techniques (RTS/ITS) qui précisent les obligations DORA en matière de résilience opérationnelle numérique des entités financières.

Ce que ça change pour vous : les établissements financiers soumis à DORA doivent surveiller les priorités de supervision de la nouvelle équipe dirigeante de l'EBA, notamment en matière de RTS/ITS DORA.


27 mars 2026 — ESAs 2026 : pressions géopolitiques et risques finance privée

Art. 6 DORA Art. 26 DORA Art. 28 DORA
Source : EBA

L'EBA, l'ESMA et l'EIOPA ont publié conjointement le 27 mars 2026 leur mise à jour des risques de printemps 2026 (Joint Risk Assessment). Le rapport souligne deux menaces principales : les pressions géopolitiques croissantes pesant sur les infrastructures financières numériques et la montée des risques liés au financement privé. Pour les établissements soumis à DORA, ce rapport constitue un signal d'alerte sur la nécessité de renforcer les dispositifs de gestion des risques TIC et de résilience opérationnelle (art. 6 DORA). Les scénarios de tests de résilience opérationnelle numérique (TLPT, art. 26 DORA) doivent intégrer des hypothèses de chocs géopolitiques. Le rapport est disponible sur le site de l'EBA.

Ce que ça change pour vous — intégrez les scénarios géopolitiques identifiés par les ESAs dans vos prochains tests de résilience opérationnelle DORA (art. 26). DORA : guide complet du règlement sur la résilience opérationnelle numériqueDORA et cloud : exigences pour les services externalisés


26 février 2026 — DORA oblige les RSSI à repenser la résilience opérationnelle

Art. 25 DORA Art. 26 DORA Art. 28 RGPD
Source : News

Selon une analyse de Teiss, DORA transforme profondément le rôle des RSSI dans le secteur financier. Le règlement impose une approche systématique de la résilience opérationnelle numérique qui va au-delà de la cybersécurité traditionnelle. Les RSSI doivent désormais piloter les tests de pénétration basés sur les menaces (TLPT), superviser les prestataires TIC critiques, et maintenir un registre d’information à jour. L’intersection avec le RGPD est directe : les données personnelles traitées par les prestataires TIC doivent également être couvertes par les contrats de sous-traitance (art. 28 RGPD).

Ce que ça change pour vous : les RSSI du secteur financier doivent formaliser leur stratégie de résilience et documenter la supervision de leurs prestataires TIC. DORA : guide complet du reglement sur la resilience operationnelle numeriquePrestataires TIC critiques : surveillance DORA

A noter : DORA impose des obligations de gestion des risques TIC qui recoupent largement le RGPD sur la securite et la sous-traitance. Legiscope audite vos contrats de sous-traitance et votre registre pour couvrir le volet donnees personnelles de DORA.

20 janvier 2026 — DORA : un an après, premier bilan de la résilience opérationnelle numérique

Art. 25 DORA Art. 28 DORA Art. 32 RGPD
Source : Sonatype

Un an après l’entrée en application de DORA, Sonatype publie un premier bilan. Les obligations de tests de résilience et de gestion des risques liés aux prestataires TIC sont désormais en vigueur. Le rapport souligne que les établissements financiers qui ont anticipé la mise en conformité en tirent déjà des bénéfices en termes de réduction des incidents. Le lien avec le RGPD est direct : les exigences de sécurité DORA recoupent l’article 32 du RGPD pour les données personnelles traitées par le secteur financier.

Ce que ça change pour vous : si vous êtes dans le secteur financier, vérifiez que vos contrats TIC incluent les clauses DORA et que vos tests de résilience sont documentés. DORA : guide complet du reglement sur la resilience operationnelle numeriqueDORA et RGPD : gerer les incidents donnees personnelles

A noter : DORA impose des obligations de gestion des risques TIC qui recoupent largement le RGPD sur la securite et la sous-traitance. Legiscope audite vos contrats de sous-traitance et votre registre pour couvrir le volet donnees personnelles de DORA.

Faits marquants 2026

Chronologie

Juillet 2026

  • Secteur financier : accord ANSSI-ACPR-Banque de France sur la cyber (DORA/NIS2)

Juin 2026

  • DORA : la BCE durcit le ton sur les tests de résilience face aux risques IA
  • Risques IA : l’AMF appelle les acteurs financiers à renforcer leur cyber
  • DORA : premier rapport européen, 3 383 incidents TIC majeurs déclarés
  • DORA : 3 383 incidents TIC majeurs recensés, un tiers transfrontières

Mai 2026

  • BCE : reunion d’urgence le 26 mai sur les risques IA cyber pour les banques

Avril 2026

  • DORA : phase d’enforcement active, premières sanctions en vue
  • EBA : François-Louis Michaud prend ses fonctions de président

Mars 2026

  • ESAs 2026 : pressions géopolitiques et risques finance privée

Février 2026

  • DORA oblige les RSSI à repenser la résilience opérationnelle

Janvier 2026

  • DORA : un an après, premier bilan de la résilience opérationnelle numérique

Voir aussi