CUSTOR 28 · Note réglementaire n° 002 · Lecture 5 min

DORA : pourquoi le délai de 4 heures est souvent mal compris

En moins de dix minutes, cette analyse vous permet de comprendre quand démarre réellement le délai de notification d'un incident majeur, et ce que vos textes exigent à chaque étape.

Méthodologie

Cette analyse distingue systématiquement :

le droit actuellement applicable ;
les textes publiés mais non encore applicables ;
les propositions ou accords politiques n'ayant pas encore produit d'effet juridique.

Sauf indication contraire, toutes les références sont issues des textes officiels de l'Union européenne.

Le malentendu qu'il faut lever

« Avec DORA, on a quatre heures pour notifier un incident. » Cette formule est répandue, et elle est source d'erreurs dans les deux sens.

Dans un sens, elle fait croire que le compteur démarre à la détection de l'incident — ce qui conduit à une panique inutile et à des notifications prématurées. Dans l'autre, elle laisse penser que l'on maîtrise ce délai en repoussant le moment où l'on tranche — ce qui expose l'établissement à un reproche réglementaire.

Le délai de quatre heures existe bien. Mais il ne démarre pas à la détection, et il ne se gère pas en retardant la qualification. Le vrai sujet n'est pas « quatre heures », c'est l'enchaînement détection → classification → notification. Cette note clarifie cet enchaînement, texte à l'appui.

Est-ce que cette note vous concerne ?

Oui, si votre établissement est une entité financière au sens de l'article 2 de DORA — ce qui couvre notamment les établissements de monnaie électronique, les établissements de paiement, les prestataires de services d'investissement, les établissements de crédit, les entreprises d'assurance, et de nombreux autres acteurs régulés.

Toute entité dans le champ de DORA est tenue de notifier les incidents liés aux TIC qualifiés de « majeurs ». Le dispositif de notification n'est pas optionnel et ses délais sont opposables.

Où se trouvent réellement les délais

Les articles 19 et 20 de DORA imposent une notification en plusieurs étapes — notification initiale, rapport intermédiaire, rapport final. Mais les délais chiffrés ne figurent pas dans le règlement lui-même : ils sont fixés par le Règlement délégué (UE) 2025/301 (RTS sur la notification d'incidents), à son article 5, et complétés par le Règlement d'exécution (UE) 2025/302 (ITS, formulaires et templates).

Conséquence pratique : lorsqu'un acteur parle du « délai de quatre heures de DORA », il cite en réalité une norme technique de niveau 2, et non le règlement lui-même. Cette distinction détermine où chercher la règle exacte, et où en suivre les évolutions.

Ce que disent précisément les textes

L'article 5 du Règlement délégué (UE) 2025/301 fixe trois échéances, chacune avec un point de départ qui lui est propre.

Notification initiale. Elle doit être soumise dans les quatre heures suivant la classification de l'incident comme majeur, et au plus tard vingt-quatre heures après que l'établissement a eu connaissance de l'incident. Deux bornes coexistent donc : l'une part de la classification, l'autre de la prise de connaissance.

Rapport intermédiaire. Il doit être soumis dans les soixante-douze heures suivant la notification initiale — et non suivant la détection. Un rapport intermédiaire mis à jour est attendu sans délai lorsque les activités régulières ont été rétablies.

Rapport final. Il doit être soumis au plus tard un mois après le rapport intermédiaire (ou le rapport intermédiaire mis à jour), une fois l'analyse des causes profondes achevée et les chiffres d'impact réels disponibles.

Le point réellement mal compris : détection n'est pas classification

Voici le cœur du sujet. Le compteur de quatre heures démarre à la classification de l'incident comme majeur. Mais la classification elle-même ne peut pas être repoussée indéfiniment : elle doit intervenir sans retard indu.

Le texte anticipe d'ailleurs la tentation de gagner du temps en retardant la qualification. Si un établissement n'a pas classé l'incident comme majeur dans les vingt-quatre heures suivant sa connaissance, mais le classe majeur plus tard, le délai de quatre heures court alors à compter de cette classification tardive. Autrement dit, repousser la classification ne fait pas disparaître l'obligation ; cela déplace simplement le point de départ, sous le regard d'un régulateur qui pourra apprécier le caractère indu du retard.

La bonne lecture n'est donc pas « j'ai quatre heures », mais « je dois détecter, puis classifier sans retard indu, puis notifier dans les quatre heures de cette classification ». C'est cet enchaînement qui est exigible, pas le seul chiffre de quatre heures.

Une nuance d'application mérite l'attention. Lorsqu'un délai expire un week-end ou un jour férié, un report jusqu'à midi le jour ouvré suivant est permis pour certaines entités. Mais ce report ne s'applique pas aux établissements de crédit, aux contreparties centrales, aux opérateurs de plateformes de négociation, ni aux entités identifiées comme essentielles ou importantes au sens de la directive (UE) 2022/2555. Une entité concernée par cette dernière catégorie ne peut donc pas compter sur ce report.

La vérité qui survit aux évolutions

Que les seuils ou les templates évoluent, un principe demeure : le respect des délais suppose d'avoir, en amont, un dispositif capable d'enchaîner trois opérations distinctes — détecter, classifier, notifier — chacune horodatée et traçable.

Le délai ne se gagne pas le jour de l'incident. Il se gagne avant, dans la capacité à qualifier vite et à documenter chaque étape. Un établissement qui découvre le jour J qu'il ne sait pas dire précisément quand il a eu connaissance de l'incident, quand il l'a classé, et sur quel fondement, ne pourra pas démontrer qu'il a respecté la chaîne — quand bien même il aurait notifié dans les temps.

Les questions à vous poser

Si, à l'issue de cette lecture, vous ne pouvez pas répondre avec certitude aux questions suivantes, votre dispositif de notification mérite probablement une revue :

Savez-vous distinguer, dans votre dispositif, le moment de la détection, celui de la prise de connaissance et celui de la classification — et les horodater séparément ?
Disposez-vous d'une méthodologie de classification documentée permettant de qualifier un incident « majeur » sans retard indu ?
Êtes-vous en mesure de soumettre une notification initiale dans les quatre heures de la classification, à toute heure et tout jour ?
Savez-vous si votre établissement relève des entités exclues du report de délai week-end / jour férié ?
Pourriez-vous, après coup, retracer pour le régulateur la chronologie complète et son fondement, à chaque étape ?

Sources réglementaires

Règlement (UE) 2022/2554 du 14 décembre 2022 (« DORA »), JO L 333 du 27 décembre 2022 — articles 19 et 20.
Règlement délégué (UE) 2025/301 de la Commission (RTS sur le contenu et les délais de notification des incidents majeurs liés aux TIC), JO L 2025/301 du 20 février 2025 — article 5 (délais).
Règlement d'exécution (UE) 2025/302 de la Commission (ITS — formulaires, templates et procédures de notification).
Pour la qualification « majeur » (seuils de matérialité) : Règlement délégué (UE) 2024/1772 — texte distinct, qui fera l'objet d'une note dédiée.

Les échéances et statuts mentionnés dans ce document reflètent l'état du droit à la date de dernière vérification indiquée en tête. Ils sont susceptibles d'évoluer dès publication de textes officiels au JOUE.

Auteur : Boumediene Fergani
Fondateur de CUSTOR 28. 15 ans d'expérience en paiements, réglementation bancaire et transformation des systèmes financiers (ISO 20022, moteurs de paiement, conformité DORA & AI Act).

Version 1.0 · Dernière vérification : 25 juin 2026
Sources officielles : EUR-Lex / Commission européenne.