La première année d'application a vu l'essentiel des établissements européens publier leur registre de prestataires tiers critiques, mettre en place leurs tests de résilience, et déclarer leurs incidents majeurs selon le nouveau format.
La deuxième année commence et change de nature : l'autorité de supervision attend désormais des établissements qu'ils démontrent l'efficacité réelle du dispositif — pas seulement son existence.
Trois sujets sous-estimés
- La cartographie des dépendances de quatrième et cinquième niveau, presque jamais à jour.
- L'intégration de DORA dans les comités de risque opérationnel — et pas seulement IT.
- Le scénario de sortie d'un prestataire cloud critique : exigé, rarement testé.