TL;DR. Les piliers opérationnels du DORA exigent une discipline démontrable en matière d’incidents, et non des documents de politique générale. Les entités financières classent les incidents TIC en fonction des seuils fixés dans le règlement délégué 2024/1772, déposent une notification initiale dans les 4 heures suivant la classification majeure (24 heures), un rapport intermédiaire dans les 72 heures et un rapport final dans un délai d’un mois. Les entités désignées effectuent tous les trois ans des tests de pénétration basés sur les menaces dans le cadre de TIBER-UE. La BNB et la FSMA contrôlent la chaîne de preuves elle-même.
Votre registre d’informations DORA est constitué et soumis. La prochaine question que posera votre auditeur sera plus difficile. Pouvez-vous prouver la discipline opérationnelle qui la sous-tend ? La Banque nationale de Belgique, la FSMA à Bruxelles, la BaFin à Bonn et la DNB à Amsterdam sont toutes passées, en 2026, de la correction coopérative des lacunes à l’application fondée sur des preuves. Elles veulent des horodatages, des justifications de classification, des journaux de bord et des procès-verbaux de conseils d’administration, et non des PDF de politiques. Le cas d’un gestionnaire de patrimoine pour lequel Jimber a permis de réduire les coûts de sécurité de 58 % est une preuve utile à cet égard. La même architecture qui a simplifié le registre a également produit les journaux prêts à être audités que la FSMA attend désormais.
Ce que la résilience opérationnelle du DORA exige réellement en 2026
L’article 6 de la DORA définit la résilience opérationnelle comme la capacité de construire, d’assurer et d’examiner l’intégrité et la fiabilité de chaque système TIC qui soutient une fonction critique ou importante. Les articles 17 à 27 déclinent cette exigence en cinq piliers opérationnels. Gestion des risques liés aux TIC. Classification et signalement des incidents majeurs. Tests de résilience opérationnelle numérique. Risques liés aux TIC pour les tiers. Partage de l’information. Les deux piliers qui sont à l’origine de la plupart des constatations d’audit pour 2026 sont la gestion des incidents et les tests avancés.
La gestion des risques liés aux TIC visée aux articles 5 à 16 établit la base de la gouvernance. L’organe de gestion en est propriétaire, le signe et est personnellement responsable des lacunes. La gestion des incidents visée aux articles 17 et 18 exige un registre actif des incidents, des seuils internes définis et une classification continue. Les articles 19 à 23 imposent l’établissement de rapports dans les 4 heures, 72 heures et un mois à l’autorité compétente. Les tests prévus aux articles 24 à 27 exigent un programme annuel de tests proportionnés couvrant chaque système soutenant une fonction critique ou importante. Le risque lié aux tiers, couvert par le registre d’information DORA, relie la chaîne d’approvisionnement au même cadre de contrôle.
Comment le DORA classe les incidents liés aux TIC
L’article 18 oblige toute entité financière à classer chaque incident lié aux TIC. Le règlement délégué (UE) 2024/1772 de la Commission fixe les critères. Trois catégories sont concernées. Un incident lié aux TIC est une anomalie dans les réseaux et les systèmes d’information. Une cybermenace importante est un signal de risque notifié volontairement. Un incident majeur lié aux TIC est le seuil de notification réglementé, défini par l’article 6 du règlement délégué comme un événement affectant des fonctions critiques ou importantes, perturbant des services autorisés ou constituant un accès non autorisé réussi.
Pour que l’incident devienne majeur, la condition de base doit être remplie et l’incident doit déclencher soit le seuil de perte de données de l’article 9, paragraphe 5, point b), soit au moins deux autres seuils quantitatifs. Les seuils sont délibérément granulaires.
Dimension de la classification Article du règlement délégué 2024/1772 Seuil de déclenchement (à titre indicatif) Conséquence de la notification Clients, contreparties et transactions Article 9, paragraphe 1 Plus de 10 % des clients concernés et plus de 100 000 clients, ou plus de 30 % des contreparties financières, ou plus de 10 % du volume ou de la valeur des transactions quotidiennes. A signaler à la BNB / FSMA / BaFin / DNB Impact sur la réputation Article 9, paragraphe 2 Plaintes répétées de clients concernant des lignes d’activité essentielles ou couverture médiatique nationale ou internationale de quelque niveau que ce soit À signaler Durée et temps d’arrêt Article 9, paragraphe 3 Durée absolue de l’incident supérieure à 24 heures, ou temps d’arrêt du service supérieur à 2 heures pour les systèmes soutenant une fonction critique ou importante À signaler Répartition géographique Article 9, paragraphe 4 Impact s’étendant sur deux ou plusieurs États membres de l’UE À signaler Pertes de données Article 9, paragraphe 5 Toute compromission de la disponibilité, de l’authenticité, de l’intégrité ou de la confidentialité qui affecte les objectifs de l’entreprise ou le respect de la réglementation. À signaler (un seul seuil suffit en cas d’accès non autorisé réussi) Impact économique Article 9, paragraphe 6 Coûts et pertes directs et indirects supérieurs à 100 000 EUR À signaler L’article 8 du même règlement impose l’agrégation. Les incidents récurrents qui ont une cause commune et qui se produisent au moins deux fois au cours d’une période de six mois doivent être combinés et reclassés en tant qu’incident majeur unique si leur impact collectif franchit les seuils fixés. C’est dans ce domaine que les contrôles ponctuels effectués par la BaFin à la fin de l’année 2025 et jusqu’en 2026 ont révélé le plus de lacunes. Les institutions du marché intermédiaire suivent les tickets de manière isolée et ne voient pas le schéma.
Les échéances de déclaration que les auditeurs vérifient en premier lieu
Le règlement délégué (UE) 2025/301 de la Commission régit la chaîne. Notification initiale dans les 4 heures suivant la classification officielle de l’événement majeur, avec un délai de 24 heures à partir de la prise de conscience initiale. Rapport intermédiaire dans les 72 heures suivant la notification initiale, mis à jour sans délai excessif lorsque les opérations normales sont rétablies. Rapport final dans le mois qui suit le rapport intermédiaire. Le règlement d’exécution (UE) 2025/302 de la Commission fournit les modèles de l’annexe II. Pour les entités non désignées comme importantes ou systémiques, toute échéance tombant un week-end ou un jour férié est automatiquement reportée à midi le jour ouvrable suivant.
Le temps commence avec la prise de conscience, pas avec la certitude médico-légale. Le 7 mai 2026, l’Autorité néerlandaise des marchés financiers a mis en garde le marché contre cette interprétation erronée. Considérer que le délai de quatre heures commence à courir après la fin de l’enquête interne est une violation sanctionnable de l’article 19. Le même avertissement soulignait l’écart entre le volume de rapports d’incidents majeurs reçus par l’AFM en 2025 et l’augmentation visible de la couverture médiatique des cyberincidents par les médias grand public. La sous-déclaration est désormais une priorité en matière d’application de la loi.
La notification initiale selon le modèle de l’annexe II du RTS 2025/301 contient des informations de base, les services concernés, les coordonnées des personnes à contacter et une justification préliminaire de la classification. Le rapport intermédiaire ajoute les vecteurs de menace, la cause première et l’impact actualisé. Le rapport final couvre l’ensemble des causes profondes, les coûts directs et indirects et un commentaire sur les enseignements tirés que les auditeurs reliront lors du prochain incident. Le flux de travail du rapport d’incident NIS2 est structurellement similaire, mais il relève d’un superviseur différent, ce qui est important en Belgique, car les entités réglementées par le DORA ne déposent jamais de rapport auprès du CCB.
Tests de pénétration basés sur la menace (TLPT) dans le cadre du DORA
Les articles 26 et 27 prévoient l’obligation pour les entités désignées de procéder à des tests de pénétration basés sur les menaces. Le règlement délégué (UE) 2025/1190 de la Commission précise qui sont les entités désignées. Les G-SIB et les O-SII parmi les établissements de crédit. Les dépositaires centraux de titres, les contreparties centrales et les plates-formes de négociation détenant la part de marché nationale la plus élevée ou représentant plus de 5 % du volume des transactions dans l’UE. Les assureurs et réassureurs systémiques dont les primes brutes émises sont supérieures à 1,5 milliard d’euros ou dont les provisions techniques sont supérieures à 10 milliards d’euros. Les entités désignées effectuent un TLPT au moins tous les trois ans, sur des systèmes de production réels, avec une phase d’équipe rouge active d’au moins 12 semaines.
La méthodologie repose sur le cadre TIBER-UE de la BCE, que la BCE a mis à jour en novembre 2025 avec un guide de mise en œuvre du SSM montrant comment TIBER-UE s’articule avec l’article 26 de la DORA. Le cadrage basé sur le renseignement couvre les fonctions critiques ou importantes, un fournisseur externe de renseignements sur les menaces fournit un rapport ciblé de renseignements sur les menaces qui cartographie les acteurs APT réels et les TTP, et un fournisseur certifié de l’équipe rouge exécute ensuite l’engagement. Une phase de relecture par l’équipe violette est obligatoire après la phase de l’équipe rouge, au cours de laquelle l’équipe rouge guide l’équipe bleue à travers les chemins d’attaque afin que les lacunes des journaux, les échecs de la détection et les faiblesses de la réponse deviennent visibles.
Le cycle complet des coûts d’un TLPT (renseignements sur les menaces, équipe rouge, équipe blanche interne, infrastructure et coordination externe facultative) se situe entre 140 000 et 560 000 euros avant remédiation. Les entités du marché intermédiaire qui se situent en dessous des seuils de désignation ne sont pas exemptées des tests avancés ; elles exécutent un programme proportionné au titre de l’article 25, qui comprend des analyses de vulnérabilité, des tests de reprise fondés sur des scénarios et des examens de configuration. Les obligations prévues à l’article 26 ne s’appliquent qu’aux entités systémiques désignées. Les tests communs prévus à l’article 26, paragraphe 8, permettent aux petites institutions de partager les testeurs et l’infrastructure au sein d’un groupe bancaire ou d’un organisme professionnel afin de maintenir les coûts à un niveau raisonnable.
Quelles preuves les auditeurs belges attendent-ils (perspective de la BNB et de la FSMA) ?
La BNB et la FSMA se partagent la supervision belge selon le modèle « twin-peaks » du pays. La BNB supervise les banques, les établissements de paiement, les assureurs et les dépositaires centraux de titres. La FSMA surveille les entreprises d’investissement, les marchés, les intermédiaires financiers et la conduite des affaires. La circulaire NBB_2026_04 du 2 avril 2026 définit la procédure de la plate-forme OneGate pour la déclaration d’incidents majeurs en vertu de la DORA, et la circulaire NBB_2026_05 de la même date régit les soumissions au registre d’information. La CCB ne reçoit pas de rapports d’incidents du secteur financier, la transposition belge de la NIS2 exclut explicitement les banques et les marchés financiers, considérant la DORA comme une lex specialis.
Les auditeurs demanderont six catégories de preuves. Premièrement, l’immutabilité de la piste d’audit, les journaux centralisés inviolables provenant de sources d’accès au réseau de confiance zéro, de pare-feu, de GTS et de points d’extrémité qui reconstituent l’incident depuis l’accès initial jusqu’à la maîtrise de l’incident. Deuxièmement, des mappages de systèmes reliant les fonctions critiques ou importantes aux applications SaaS sous-jacentes, aux segments de réseau et à l’infrastructure physique. Troisièmement, des preuves de test comprenant des analyses de vulnérabilité, des examens de configuration, des exercices de reprise basés sur des scénarios et un suivi des mesures correctives qui prouvent que les faiblesses ont été résolues et testées à nouveau. Quatrièmement, l’intégration de la gouvernance par le biais des procès-verbaux du conseil d’administration qui montrent l’examen formel et l’approbation du cadre de risque TIC, avec un énoncé défini de l’appétence au risque. Cinquièmement, les simulations du cahier des charges à partir d’exercices trimestriels sur table. Sixièmement, la posture des appareils comme preuve dans le cadre des piliers « tiers » et « actifs », signalant que seuls les terminaux conformes atteignent les applications critiques.
Le chevauchement DORA-NIS2 en Belgique est régi par le principe de la lex specialis. DORA l’emporte pour l’entité réglementée, mais un fournisseur de services gérés soutenant à la fois une entreprise financière et un opérateur d’infrastructure critique peut être soumis aux deux obligations. Les obligations d’audit NIS2 dans le cadre de la CCB et les rapports DORA dans le cadre de la plate-forme NBB OneGate produisent des flux de preuves qui se chevauchent et qu’une architecture de journalisation unifiée peut satisfaire à partir d’une seule piste d’audit.
Les plateformes SASE au service de la résilience opérationnelle
Une plateforme SASE ne rend pas une entité financière conforme à la DORA. C’est le conseil d’administration, les politiques, le programme de test et le registre des tiers qui le font. Ce que la plateforme peut faire, c’est effondrer la chaîne de preuves que les auditeurs veulent désormais voir. Les plateformes telles que Jimber centralisent la journalisation à travers ZTNA, SWG, FWaaS et SD-WAN en une seule piste d’audit. Cette piste unique est importante car l’article 17 exige une capacité de détection démontrable, l’article 18 exige une logique de classification défendable et les articles 19 à 23 exigent des horodatages pouvant faire l’objet d’un rapport et capables de résister à un examen minutieux. Pour un contexte sectoriel spécifique, notre guide sur le SASE pour les services financiers dans le cadre de la loi DORA couvre une vision verticale plus large.
La plateforme Jimber SASE gère l’enregistrement continu d’une manière qui correspond aux articles spécifiques du DORA. La mise en œuvre de ZTNA par application répond aux exigences de l’article 9 en matière de contrôle d’accès et produit le flux d’événements par identité dont la reconstitution de l’incident a besoin. FWaaS fournit les preuves de segmentation du réseau que l’article 9 attend également. La télémétrie SD-WAN alimente les rapports sur la connectivité résiliente prévus à l’article 24. Le matériel NIAC comble l’écart entre les dispositifs sans agent, les imprimantes, les capteurs IoT, les téléphones VoIP et les contrôleurs industriels qui ne peuvent pas exécuter un agent logiciel et qui apparaissent comme des entrées manquantes dans les conclusions des contrôles ponctuels de la BaFin et de la FSMA. La juridiction de l’UE importe ici, la loi CLOUD n’atteint pas les données traitées et stockées par un fournisseur ayant son siège en Belgique, ce qui supprime une question récurrente de risque de concentration en vertu des articles 28 à 44. La plateforme soutient les preuves de résilience opérationnelle, elle ne remplace pas la gouvernance.
Comment les exigences en matière de résilience opérationnelle vont-elles se renforcer jusqu’en 2026 et 2027 ?
Trois forces augmentent le plafond. Le 18 novembre 2025, les autorités européennes de surveillance ont publié la première liste de 19 fournisseurs de services TIC tiers désignés comme critiques, parmi lesquels les grandes entreprises dominantes, avec des pénalités périodiques pouvant atteindre 1 % du chiffre d’affaires mondial quotidien moyen en cas de non-coopération avec la surveillance directe. Les questions relatives aux risques de concentration seront intégrées dans les évaluations des tiers du marché intermédiaire jusqu’en 2026. Les autorités nationales compétentes font également part de leurs attentes en matière de maturité. Le cycle 2025 du SREP a montré que les TIC et le risque opérationnel étaient parmi les plus mal notés dans l’ensemble du SSM, ce qui a conduit à des ajouts de capital pour les banques dont les preuves de résilience opérationnelle étaient minces.
Les travaux en cours sur les RTS de niveau 2 comblent les dernières lacunes. L’Autorité bancaire européenne a enregistré plus de 1 200 rapports d’incidents majeurs liés aux TIC au cours des seuls quatre premiers mois de l’année 2025, ce qui oblige à moderniser les circuits de validation de chaque ANC et à resserrer la boucle de retour d’information sur la qualité de la classification. Les données de la supervision bancaire de la BCE pour l’année 2025 attribuent 38 % des incidents majeurs survenus dans les banques directement supervisées à des défaillances dans la gestion du changement informatique, et non à des attaques externes. Les auditeurs intègrent désormais des preuves de la gestion du changement dans leur champ d’inspection pour 2026, parallèlement à la chaîne des incidents.
Liste des points à vérifier
Quelle est la différence entre un incident TIC et un incident TIC majeur au sens de la loi DORA ?
Un incident TIC est une anomalie affectant les réseaux et les systèmes d’information. Un incident TIC majeur est un incident qui remplit la condition de base de l’article 6 (impact sur des fonctions critiques ou importantes, interruption de service ou accès non autorisé réussi) et qui déclenche soit le seuil de perte de données de l’article 9, paragraphe 5, point b), soit au moins deux autres seuils quantitatifs fixés par le règlement délégué (UE) n° 2024/1772 de la Commission.
À quelle fréquence les entités financières doivent-elles effectuer des tests de pénétration basés sur les menaces en vertu de la loi DORA ?
Les entités désignées effectuent un TLPT au moins tous les trois ans. Les critères de désignation figurent dans le règlement délégué (UE) n° 2025/1190 de la Commission et couvrent les G-SIB, les O-SII, les principales plates-formes de négociation, les dépositaires centraux de titres, les contreparties centrales et les assureurs systémiques. Les entités non désignées effectuent des tests proportionnés au titre de l’article 25, sur une base annuelle, pour les fonctions critiques ou importantes.
Quelle est l’autorité compétente pour le DORA en Belgique ?
La Banque nationale de Belgique contrôle les établissements de crédit, les établissements de paiement, les assureurs et les dépositaires centraux de titres. La FSMA supervise les entreprises d’investissement, les marchés, les intermédiaires financiers et la conduite des affaires. Toutes deux utilisent la plate-forme OneGate de la BNB pour signaler les incidents majeurs, conformément à la circulaire NBB_2026_04 du 2 avril 2026.
Quel est le délai pour la notification initiale d’un incident en vertu de la loi DORA ?
Dans les 4 heures suivant la classification officielle d’un incident comme majeur, avec un délai maximum de 24 heures à partir de la prise de conscience initiale. Le rapport intermédiaire est établi dans les 72 heures suivant la notification initiale. Le rapport final est établi dans le mois qui suit le rapport intermédiaire. Le règlement délégué (UE) 2025/301 de la Commission régit la chaîne.
DORA remplace-t-il NIS2 pour les entités financières ?
Pour les entités financières belges, oui. La transposition belge de la NIS2 exclut explicitement les banques et les marchés financiers, traitant la DORA comme une lex specialis. Les entités financières s’adressent à la plate-forme OneGate de la BNB, et non à la BCC. Les fournisseurs de services TIC qui desservent des entités réglementées financières et non financières peuvent être soumis aux deux obligations.
Quelles sont les preuves que les auditeurs de la BNB vérifient pour la résilience opérationnelle de DORA ?
Six catégories. Journaux centralisés inviolables reconstituant la chronologie de l’incident. Correspondance entre les fonctions critiques ou importantes et les actifs sous-jacents. Preuve de test avec remédiation documentée. Procès-verbaux du conseil d’administration montrant l’approbation du cadre des risques liés aux TIC. Registres trimestriels des exercices de simulation. Posture de l’appareil et journaux d’accès prouvant l’efficacité du contrôle sur les points finaux gérés et sans agent.
Comment une plateforme SASE peut-elle répondre aux exigences de la DORA en matière de rapports d’incidents ?
Une plateforme SASE avec une piste d’audit unique comprime la chaîne de preuves. Les journaux ZTNA fournissent des événements d’accès par identité. Les journaux FWaaS fournissent des preuves de segmentation. La télémétrie SD-WAN alimente les rapports sur la résilience de la connectivité. NIAC comble la lacune des dispositifs sans agent qui apparaît à plusieurs reprises dans les conclusions des contrôles ponctuels de la BaFin. La journalisation unifiée raccourcit le temps de classification et produit la séquence horodatée que les ANC demandent dans les rapports intermédiaires et finaux.
Pour les entités financières belges qui sont désormais soumises à l’application de la loi DORA, la question n’est plus de savoir si nous disposons d’une politique, mais plutôt si nous pouvons présenter des preuves. Une plateforme SASE avec un enregistrement centralisé, des calendriers d’incidents transparents, la résidence des données dans l’UE et une piste d’audit unique transforme cette question en une réponse d’audit au niveau de la phrase plutôt qu’en une quinzaine de jours de reconstruction médico-légale. Réservez une visite de 30 minutes pour voir comment Jimber répond à vos exigences en matière de preuves DORA.
