Qu'est-ce que DORA et qui doit s'y conformer ?

DORA (Règlement sur la résilience opérationnelle numérique) est entré en vigueur en janvier 2025. Il s'applique aux entités financières de l'UE, notamment les banques, compagnies d'assurance, sociétés d'investissement, prestataires de services sur crypto-actifs et leurs fournisseurs TIC tiers critiques.

Que requiert DORA en matière de gestion des risques TIC ?

DORA exige des cadres documentés de gestion des risques TIC, des plans de continuité des activités, la classification et la notification des incidents, des tests de résilience opérationnelle numérique et la gestion des risques TIC tiers avec des preuves d'audit immuables.

Comment ROOTKey soutient-il la notification d'incidents DORA ?

DORA impose la déclaration des incidents TIC majeurs aux autorités compétentes. L'ancrage cryptographique par hachage de ROOTKey crée des chronologies d'incidents inviolables servant de base probatoire pour les rapports réglementaires.

Quelles sont les sanctions pour non-conformité à DORA ?

Les prestataires tiers critiques de services TIC s'exposent à des amendes allant jusqu'à 1 % du chiffre d'affaires journalier mondial moyen pour chaque jour de non-conformité. Les entités financières font face à des mesures de surveillance supplémentaires de la part des autorités compétentes.

Qu'est-ce que DORA et qui doit s'y conformer ?

DORA (Règlement sur la résilience opérationnelle numérique) est entré en vigueur en janvier 2025. Il s'applique aux entités financières de l'UE, notamment les banques, compagnies d'assurance, sociétés d'investissement, prestataires de services sur crypto-actifs et leurs fournisseurs TIC tiers critiques.

Que requiert DORA en matière de gestion des risques TIC ?

DORA exige des cadres documentés de gestion des risques TIC, des plans de continuité des activités, la classification et la notification des incidents, des tests de résilience opérationnelle numérique et la gestion des risques TIC tiers avec des preuves d'audit immuables.

Comment ROOTKey soutient-il la notification d'incidents DORA ?

DORA impose la déclaration des incidents TIC majeurs aux autorités compétentes. L'ancrage cryptographique par hachage de ROOTKey crée des chronologies d'incidents inviolables servant de base probatoire pour les rapports réglementaires.

Quelles sont les sanctions pour non-conformité à DORA ?

Les prestataires tiers critiques de services TIC s'exposent à des amendes allant jusqu'à 1 % du chiffre d'affaires journalier mondial moyen pour chaque jour de non-conformité. Les entités financières font face à des mesures de surveillance supplémentaires de la part des autorités compétentes.

UE 2022/2554 · Règlement DORA

Résilience numérique
DORA sans
disruption

ROOTKey mappe les exigences DORA directement sur votre infrastructure existante - gestion des risques TIC, notification des incidents, tests de résilience - avec des preuves cryptographiques vérifiables.

BanqueAssuranceGestion d'actifsInfrastructure de marchéPaiementsAudit

Parler à un expert →Voir les plans

Aperçu de la conformité

Articles couverts · DORAActif

Art. 5–16Gestion des risques TICCouvert

Art. 17–23Classification et notification des incidentsCouvert

Art. 24–27Tests de résilience opérationnelleCouvert

Art. 28–44Risque TIC tiersCouvert

Art. 45–49Partage d'informationsCouvert

Art. 19–20Notification aux autoritésCouvert

Art. 26Tests de pénétration avancésPartiel

5 M€

Amende maximale

ou 1 % du chiffre d'affaires annuel mondial

Notification initiale

après classification d'un incident majeur

20+

Types d'entités

entités financières couvertes par le règlement

Jan'25

Application obligatoire

en vigueur dans toute l'Union européenne

01 / Cartographie

ROOTKey couvre les articles qui comptent

Chaque fonctionnalité de la plateforme répond à des exigences réglementaires spécifiques. Des preuves cryptographiques auditables - pas des rapports, des preuves.

Articles 5–16

Gestion des risques TIC

Les entités financières doivent mettre en œuvre un cadre robuste de gestion des risques TIC avec des politiques, des contrôles et des mécanismes de continuité d'activité documentés.

ROOTKey

Registre immuable des politiques TIC avec hash vérifiable par version et historique ancré cryptographiquement - toute altération rétroactive est cryptographiquement impossible.

Articles 17–23

Classification des incidents

Classification, surveillance et notification des incidents TIC majeurs avec des critères définis et des délais de notification stipulés.

ROOTKey

Horodatages signés cryptographiquement pour chaque événement. Chaîne de traçabilité irréfutable avec export structuré aux régulateurs en quelques secondes.

Articles 24–27

Tests de résilience

Programme régulier de tests de résilience opérationnelle numérique, incluant des évaluations de vulnérabilité et des tests de pénétration pilotés par la menace.

ROOTKey

Points de récupération avec vérification d'intégrité cryptographique - preuve vérifiable que les systèmes de récupération n'ont pas été compromis avant d'être testés.

Articles 28–44

Risque TIC tiers

Gestion rigoureuse du risque fournisseur TIC tiers, incluant la diligence raisonnable, les arrangements contractuels et les droits d'audit.

ROOTKey

Vérification cryptographique des accès par conception : chaque accès tiers est authentifié avec une preuve cryptographique et enregistré de manière immuable, sans confiance implicite.

Articles 45–49

Partage d'informations

Participation aux arrangements de partage d'informations sur les cybermenaces et vulnérabilités entre entités financières.

ROOTKey

Journaux structurés et exportables avec preuves cryptographiques - prêts pour le partage sécurisé avec les autorités et pairs du secteur.

Articles 19–20

Notification aux autorités

Notification initiale à l'autorité compétente dans les 4 heures suivant la classification d'un incident majeur ; rapport final dans le mois.

ROOTKey

Journaux avec horodatages immuables et export structuré - preuve vérifiable du moment de détection et de classification, prête en quelques minutes.

02 / Plateforme

Au-dessus de votre infrastructure. Pas à la place.

ROOTKey ne remplace pas les systèmes existants. Il ajoute une couche de vérification cryptographique via API - sans migration, sans verrouillage fournisseur.

Preuves cryptographiques auditables

Chaque action critique génère une preuve indépendante, vérifiable par des auditeurs externes sans accéder aux données originales. Une conformité prouvée - pas décrite.

Points de récupération vérifiables

Sauvegardes avec intégrité garantie cryptographiquement. Le régulateur demande des preuves ; ROOTKey fournit des justificatifs - date, contenu, intégrité, tout vérifiable.

Gestion des risques TIC

Cadre robuste avec politiques versionnées et hash immuable par version. Auditable à tout moment, sans altération possible.

Notification des incidents

Chaîne de traçabilité pour chaque événement TIC avec horodatage cryptographique. Notification aux autorités avec preuves irréfutables en quelques minutes.

Résilience opérationnelle

Points de récupération vérifiés par vérification d'intégrité cryptographique avant toute restauration. Intégrité garantie des systèmes de récupération.

Risque tiers

Chaque accès fournisseur TIC est authentifié et enregistré avec une preuve cryptographique immuable. Vérification cryptographique des accès par conception.

03 / Intégration