Annexe DORA (Digital Operational Resilience Act)

L’Annexe DORA est un document contractuel qui formalise la conformité au règlement européen sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA), pleinement applicable depuis le 17 janvier 2025.

Elle s’inscrit dans un contexte où la digitalisation du secteur financier accroît les risques systémiques (cyberattaques, pannes, incidents informatiques), dont les conséquences peuvent dépasser les pertes financières directes.

Les exigences de DORA s’appliquent directement aux entités financières : 

• Banques, 
• Sociétés de gestion d’actifs,
• Assureurs, 
• Infrastructures de marché
• Prestataires de services de paiement ou plateformes financières. 

Ces entités doivent intégrer des clauses contractuelles, souvent regroupées dans une annexe au contrat principal appelée « Annexe DORA », pour encadrer leurs relations avec leurs prestataires de services TIC (Technologies de l’Information et de la Communication).

Parmi ces prestataires, ceux désignés comme tiers critiques par les autorités européennes (fournisseurs de cloud, logiciels bancaires, hardware essentiel) sont soumis à des obligations renforcées, y compris une surveillance directe par les régulateurs européens, en plus des obligations contractuelles.

Le document définit les exigences relatives à :

• la gestion des risques liés aux systèmes d’information (TIC) : identification, évaluation et mitigation des vulnérabilités, 
• la sécurité et la continuité des systèmes : mesures pour garantir la disponibilité et l’intégrité des services, 
• la gestion des incidents et les tests de résilience opérationnelle : procédures de réponse aux incidents et simulations régulières pour évaluer la robustesse des systèmes, 
• les obligations et relations avec les prestataires critiques : encadrement des responsabilités et des attentes vis-à-vis des tiers essentiels, 
• le partage d’informations sur les menaces et vulnérabilités : collaboration renforcée pour anticiper et contrer les risques émergents.

Il présente un double intérêt :

• Pour les prestataires, il clarifie leurs responsabilités et limite les risques liés à la dépendance opérationnelle vis-à-vis des entités financières.
• Pour les entités financières, il garantit la conformité réglementaire, renforce la sécurité des systèmes et améliore la résilience opérationnelle numérique.

L’Annexe DORA, en plus d’être un impératif pour les entités financières, est un outil clé pour sécuriser les relations contractuelles, prévenir les incidents critiques et renforcer la confiance entre les parties, tout en faisant de la résilience opérationnelle numérique un pilier stratégique pour l’avenir du secteur financier.