A. Textes fondamentaux de DORA
Le règlement DORA s’inscrit dans un écosystème réglementaire complexe et structuré. Les textes fondamentaux comprennent :
- Le règlement DORA lui-même
- Texte officiel : Règlement (UE) 2022/2554
- Date de publication : 27 décembre 2022
- Date d’entrée en application : 17 janvier 2025
- Lien vers le texte officiel sur EUR-Lex
- Les Standards Techniques Réglementaires (RTS) Les RTS apportent des précisions techniques essentielles sur :
- Les critères d’identification des prestataires critiques de services TIC
- Les méthodologies de test de résilience opérationnelle
- Les exigences en matière de reporting des incidents
- Les formats standardisés pour la documentation
- Les Standards Techniques d’Implémentation (ITS) Les ITS fournissent des modèles et formats concrets pour :
- Les registres d’information sur les prestataires de services TIC
- Les notifications d’incidents
- Les rapports de tests de résilience
- Les plans de remédiation
B. Publications des autorités européennes de supervision
- Autorité Bancaire Européenne (EBA)
- Guidelines sur la gouvernance des risques TIC
- Standards sur les tests de résilience opérationnelle
- Recommandations sur l’externalisation cloud
- ESMA (European Securities and Markets Authority)
- Directives sur la gestion des cyberrisques
- Guidelines sur le reporting des incidents
- Standards sur les tests de pénétration
- EIOPA (European Insurance and Occupational Pensions Authority)
- Guidelines sur la sécurité et la gouvernance des TIC
- Standards sur la résilience opérationnelle
- Recommandations sur la gestion des prestataires
C. Publications des régulateurs nationaux
Les autorités nationales compétentes ont produit des documents d’accompagnement essentiels :
- ACPR (France)
- Notice sur la mise en œuvre de DORA
- Guidelines sur l’identification des services critiques
- Recommandations sur les tests de résilience
- BaFin (Allemagne)
- Guide d’implémentation de DORA
- Standards de reporting des incidents
- Exigences pour les prestataires critiques
- FSMA (Belgique)
- Circulaire sur la résilience opérationnelle
- Guidelines sur les tests TLPT
- Standards de documentation et reporting
D. Publications des organismes internationaux
- ENISA (Agence européenne pour la cybersécurité)
- Guide des bonnes pratiques en cybersécurité
- Cadre d’évaluation de la maturité cyber
- Standards pour les tests de résilience
- ISO (Organisation internationale de normalisation)
- ISO 27001 : Management de la sécurité de l’information
- ISO 22301 : Management de la continuité d’activité
- ISO 27032 : Lignes directrices pour la cybersécurité
E. Guides pratiques et méthodologiques
- Guides de mise en œuvre
- Guide méthodologique de conformité DORA
- Manuel des tests de résilience opérationnelle
- Guide de gestion des prestataires critiques
- Documents techniques
- Standards de sécurité pour les services cloud
- Méthodologies de tests de pénétration
- Cadres d’évaluation des risques TIC
- Outils et templates
Frameworks d’évaluation de la maturité
Modèles de registres des prestataires
Templates de reporting d’incidents