Bilan des jalons 2025 et perspectives de supervision

Source : Rapport annuel 2025 de l'EIOPA (EIOPA-annual-report-2025).

Sommaire : Le rapport annuel 2025 de l'EIOPA présente les principales actions menées pour renforcer la résilience opérationnelle numérique du secteur financier européen dans le cadre du règlement DORA. En 2025, EIOPA, en coopération avec les autres ESAs, a finalisé la mise en place du cadre de supervision des prestataires tiers critiques de services TIC (CTPP). Les travaux ont porté sur la création des structures de gouvernance, des équipes conjointes de supervision, des méthodologies d'évaluation, des procédures opérationnelles et des outils informatiques nécessaires à l'exercice de cette surveillance. Dix-neuf prestataires critiques ont été désignés et les premières activités de supervision ont été engagées. Le rapport souligne également le renforcement de la coordination européenne en matière de gestion des cyberincidents et l'intégration de la résilience numérique parmi les priorités de supervision pour les années à venir.

1. Introduction

Le rapport annuel 2025 de l'EIOPA consacre DORA comme le pilier structurel de la sécurité des systèmes d'information du secteur financier européen. Conformément à l'Objectif Stratégique n°2 de l'Autorité, la mise en œuvre de DORA vise spécifiquement à « atténuer les risques et saisir les opportunités de la transformation numérique ». L'année 2025 a marqué une étape charnière, passant de la finalisation des cadres normatifs à l'opérationnalisation technique et structurelle, garantissant que le secteur est en mesure de prévenir, de résister et de se rétablir face aux perturbations informatiques.

2. Établissement du cadre de surveillance des prestataires critiques (CTPP)

L'exercice 2025 a vu la concrétisation du dispositif de surveillance des prestataires tiers de services TIC considérés comme critiques (CTPP - Critical Third-Party Providers). Ce cadre marque une évolution majeure vers une « supervision européenne intégrée », telle que soulignée dans les orientations stratégiques de la direction.

La mise en place opérationnelle s'est appuyée sur les structures suivantes :

• Gouvernance institutionnelle : Création du Joint Oversight Network (Réseau conjoint de surveillance) et de l' Oversight Forum (Forum de surveillance), instances de coordination essentielles entre les autorités de surveillance européennes (ESAs) et les autorités nationales compétentes (NCA).
• Équipes d'Examen Conjointes (JET) : Opérationnalisation des Joint Examination Teams, structures hybrides composées d'experts des ESAs et des NCAs, incarnant la convergence de supervision sur le terrain.
• Ressources et expertises : Recrutement des responsables d'unités au sein des ESAs, ainsi que des chefs de file (JET leads) et des membres techniques des équipes d'examen.
• Outils et procédures : Finalisation des méthodologies d'audit, des procédures d'examen et déploiement des outils informatiques nécessaires au support des activités de surveillance directe.

3. Désignation et engagement avec les CTPP

Un jalon historique a été atteint le 18 novembre 2025 avec la première désignation officielle des CTPP, sur la base d'une évaluation de criticité structurée exploitant les registres d'information transmis par les entités financières.

• Désignation : Dix-neuf prestataires tiers de services TIC ont été officiellement qualifiés de critiques pour le système financier de l'Union.
• Autorité de surveillance principale : L'Autorité Bancaire Européenne (ABE/EBA) a été désignée comme Lead Overseer (Autorité de surveillance principale) pour ces 19 entités initiales.
• Périmètre d'engagement : Le dialogue formel a été instauré avec ces prestataires, couvrant une gamme étendue de services allant des infrastructures critiques à la gestion de données et aux services commerciaux.
• Contextualisation financière : Cette montée en puissance s'est inscrite dans un budget opérationnel de 40,5 millions d'euros pour l'EIOPA en 2025, permettant de collecter les frais de surveillance auprès des CTPP et de finaliser les plans de surveillance individuels pour l'année 2026.

4. Production réglementaire et convergence technique

L'activité normative de 2025, menée conjointement par les ESAs, a permis de stabiliser le cadre d'application de DORA.

5. Gestion de crise et coordination systémique

Parallèlement au volet préventif, l'EIOPA a contribué à l'opérationnalisation du Cadre européen de coordination des incidents cyber systémiques (EU-SCICF - European Systemic Cyber Incident Coordination Framework). Ce dispositif constitue le pendant « gestion de crise » de la surveillance proactive des CTPP. Il renforce la préparation systémique en instaurant des mécanismes de réponse coordonnée entre les autorités européennes face à des incidents cyber de grande ampleur menaçant la stabilité financière.

6. Perspectives 2026 : Priorités stratégiques de supervision

Dans le cadre des Priorités Stratégiques de Supervision de l'Union (USSP - Union-wide Strategic Supervisory Priorities), la résilience opérationnelle numérique est confirmée comme un axe majeur pour le cycle 2026.

L'attention de l'EIOPA et des autorités nationales se portera sur :

• L'intégration de DORA dans le cycle de supervision régulier pour assurer la continuité des fonctions critiques des entités.
• La convergence avec les autres priorités USSP, notamment la gestion des risques de durabilité.
• La surveillance du traitement équitable des consommateurs, particulièrement dans la gestion des sinistres, dans un contexte de digitalisation croissante des processus d'indemnisation (identifié comme un point de vigilance spécifique pour 2026).