Législation Règlements 16/12/2024 Règlement délégué (UE) 2025/420 concernant des normes techniques de réglementation en ce qui concerne les critères pour déterminer la composition de l’équipe d’examen conjoint en vue de garantir une participation équilibrée des membres du personnel des AES et des autorités compétentes concernées, leur désignation, leurs tâches et leurs modalités de travail (DORA Art. 41(1)(c)) 29/11/2024 Règlement d’exécution (UE) 2024/2956 définissant des normes techniques d’exécution en ce qui concerne les modèles types pour le registre d’informations (DORA Art. 28.9) 24/10/2024 Règlement délégué (UE) 2025/295 concernant des normes techniques de réglementation relatives à l’harmonisation des conditions permettant l’exercice des activités de supervision (DORA Art. 41(a)(b)(d)) 23/10/2024 Règlement d’exécution (UE) 2025/302 définissant des normes techniques d’exécution en ce qui concerne les formulaires, modèles et procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante (DORA Art. 20(b)) 23/10/2024 Règlement délégué (UE) 2025/301 concernant des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes (DORA Art. 20(a)) 13/03/2024 Règlement délégué (UE) 2024/1772 concernant des normes techniques de réglementation précisant les critères de classification des incidents liés aux TIC et des cybermenaces, fixant des seuils d’importance significative et précisant les détails des rapports d’incidents majeurs (DORA Art. 18.3) 13/03/2024 Règlement délégué (UE) 2024/1773 concernant des normes techniques de réglementation précisant le contenu détaillé de la politique relative aux accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC (DORA Art. 28.10) 13/03/2024 Règlement délégué (UE) 2024/1774 concernant des normes techniques de réglementation précisant les outils, méthodes, processus et politiques de gestion du risque lié aux TIC et le cadre simplifié de gestion du risque lié aux TIC (DORA Art. 15 et 16) 22/02/2024 Règlement délégué (UE) 2024/1505 déterminant le montant des redevances de supervision à percevoir par le superviseur principal auprès des prestataires tiers critiques de services TIC et les modalités de paiement de ces redevances (DORA Art. 43.2) 22/02/2024 Règlement délégué (UE) 2024/1502 concernant la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières (DORA Art. 31.8) 14/12/2022 Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 Circulaires, communications et guide pratique Communications 05/03/2025 FSMA_2025_02 Communication relative au registre d’informations DORA(pdf - 2.01 MB) Files Communication relative au registre d’informations DORA (pdf - 2.01 MB) 17/01/2025 FSMA_2025_01 Une deuxième enquête réalisée par la FSMA montre que les entités financières doivent encore fournir des efforts pour se conformer au règlement DORA(pdf - 809.66 KB) Files Une deuxième enquête réalisée par la FSMA montre que les entités financières doivent encore fournir des efforts pour se conformer au règlement DORA (pdf - 809.66 KB) Questions et réponses (FAQ) Quel est l'objectif du règlement DORA ? Gestion du risque lié aux TIC Gestion, classification et déclaration des incidents liés aux TIC 1. Quelles sont les exigences en matière de gestion des incidents liés aux TIC et des cybermenaces ? (art. 17 DORA) 2. Quelles sont les exigences en matière de classification des incidents liés aux TIC et des cybermenaces ? (art. 18 DORA) 3. Quelles sont les exigences en matière de déclaration des incidents et des cybermenaces ? (art. 19 DORA) 4. Comment pouvez-vous rapporter les incidents majeurs liés aux TIC et les cybermenaces à la FSMA ? Tests de résilience opérationnelle numérique 1. Quelles sont les exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique par les entités financières (autres que les microentreprises) ? 2. Quels tests doivent effectuer les entités financières en matière de risques liés aux services TIC? 3. Quelles entités doivent mettre en œuvre des tests de pénétration avancés fondés sur la menace (threat-led penetration tests) ? Gestion des risques liés aux prestataires tiers des services TIC 1. Quels sont les principes clés pour une bonne gestion des risques liés aux prestataires tiers de services TIC ? 2. Quelle stratégie adopter en matière de risques liés aux prestataires tiers de services TIC? 3. Comment documenter les accords contractuels avec des prestataires tiers de services TIC ? 4. Que faire avant de conclure un accord contractuel avec un prestataire tiers de services TIC ? 5. Comment choisir son ou ses prestataire(s) tiers de services TIC ? 6. Comment et à quelle fréquence contrôler son ou ses prestataire(s) tiers de services TIC ? 7. Dans quels cas prévoir une stratégie de sortie ? 8. Comment mettre en œuvre une stratégie de sortie ? 9. Comment évaluer préalablement un risque de concentration de TIC au niveau de sa société ? 10. Quels principes respecter en matière de services TIC qui soutiennent des fonctions critiques ou importantes ? 11. Comment consigner les droits et obligations respectifs de l’entité financière et du prestataire tiers de services TIC ? 12. Quelles sont les dispositions contractuelles qui doivent toujours figurer dans les accords contractuels ? 13. Quelles sont les dispositions contractuelles qui doivent toujours figurer dans les accords contractuel relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ? 14. Comment assurer en synthèse le suivi des contrats avec des prestataires tiers de service TIC ? (tableau récapitulatif)
