Gouvernance du risque TIC sous DORA
La gouvernance du risque TIC est la couche qui pilote tout le programme DORA. Le règlement (UE) 2022/2554 place la responsabilité du cadre de gestion du risque TIC au niveau de l'organe de direction de l'entité financière.
Mis à jour le 19/06/2026. Source de référence : règlement (UE) 2022/2554 (DORA).
Ce que recouvre le premier pilier
Le premier pilier de DORA, la gestion du risque lié aux TIC, exige un cadre de gouvernance et de contrôle interne. Il s'agit d'identifier, de cartographier et de surveiller en continu les fonctions et actifs critiques ou importants, de conduire des évaluations périodiques des risques, et de tenir des plans de continuité d'activité et de reprise après incident, testés et actualisés.
Cette exigence est structurante : elle conditionne la lisibilité des quatre autres voies de travail. Sans cartographie à jour des fonctions critiques, ni les tests ni le pilotage des prestataires ne peuvent être priorisés correctement.
La responsabilité de l'organe de direction
Sous DORA, le pilotage du risque TIC n'est pas délégable à la seule direction informatique. L'organe de direction porte la responsabilité du dispositif : il valide le cadre, alloue les moyens et reste comptable devant l'autorité compétente. En France, l'ACPR supervise notamment les banques et assurances, l'AMF les entreprises d'investissement, sociétés de gestion et infrastructures de marché.
C'est pourquoi la gouvernance se traite comme une couche transversale, et non comme un pilier de plus. Elle relie risque TIC, incidents, tests, prestataires et partage d'informations en une seule trajectoire dirigée, décrite dans le programme de conformité DORA.
Proportionnalité et entités concernées
Le champ d'application de DORA est large : il vise un grand nombre de catégories d'entités financières au-delà des seules banques (établissements de paiement, entreprises d'investissement, gestionnaires de fonds, assurances, infrastructures de marché, etc.), ainsi que leurs prestataires tiers de services TIC. Un principe de proportionnalité s'applique, et les microentreprises sont exemptées de certaines exigences.
La gouvernance doit donc calibrer son ambition sur la taille et le profil de risque de l'entité, sans renoncer à la traçabilité des décisions. Pour la qualification exacte d'un cas limite, il convient de se référer aux autorités compétentes et au texte du règlement.
Questions fréquentes
Qui est responsable du risque TIC sous DORA ?
Le règlement (UE) 2022/2554 place la responsabilité du cadre de gestion du risque TIC au niveau de l'organe de direction de l'entité financière. La gouvernance ne peut donc pas être déléguée à la seule direction informatique.
Toutes les entités ont-elles les mêmes obligations ?
Non. DORA prévoit un principe de proportionnalité, et les microentreprises sont exemptées de certaines exigences. La gouvernance doit calibrer son dispositif sur la taille et le profil de risque de l'entité.
Besoin de transformer cette étape en plan de marche daté ? Le site qualifie votre demande puis vous met en relation avec un intervenant spécialisé.
Cadrer mon programme DORARéponse sous 48 h ouvrées · sans démarchage commercial.