Introduction : De la mise en œuvre à l'action

L'année 2026 marque un tournant décisif pour DORA. L'attention se déplace résolument des défis théoriques de la préparation à la conformité vers les réalités pratiques de la supervision active et du contrôle direct. Cette transition, du processus d'élaboration des règles à leur application, est essentielle pour ancrer une véritable résilience numérique dans l'ensemble du secteur financier de l'UE. Cet article présente les principales activités de supervision prévues pour 2026.

1. Le cadre de surveillance des prestataires tiers critiques (CTPP) devient opérationnel

Un pilier central du travail des ESAs en 2026 est l'activation historique du cadre de surveillance des prestataires tiers critiques de services TIC (CTPP). Ce cadre marque une expansion significative du pouvoir réglementaire, conférant aux ESAs des compétences de supervision directe sur les entreprises technologiques dont les services sont essentiels à la stabilité du système financier - une avancée cruciale pour traiter les risques provenant de l'extérieur du périmètre réglementaire traditionnel.

1.1. Désignation et attribution de la surveillance

Après la désignation du premier groupe de CTPP par le Forum de surveillance des ESAs d'ici la fin de 2025, le cycle de supervision commencera formellement avec les étapes suivantes :

• Pour chaque CTPP désigné, une seule ESA sera nommée surveillant principal afin d'assurer une ligne claire de responsabilité.

• Ces surveillants principaux seront soutenus par des équipes d'examen conjointes (JETs), composées d'experts issus à la fois des ESAs et des autorités nationales compétentes (ANC).

1.2. Évaluations des risques et premiers examens

Les principales activités de supervision en 2026 suivront un processus structuré et fondé sur les risques :

1. Évaluations des risques : les surveillants principaux et les JETs mèneront des évaluations complètes des risques des CTPP désignés.

2. Plans de surveillance : sur la base de ces évaluations, ils élaboreront à la fois des plans de surveillance annuels individuels pour chaque CTPP et un plan stratégique pluriannuel pour le secteur.

3. Début des examens : les premières activités d'examen des CTPP se dérouleront tout au long de 2026 - des résultats qui seront suivis de près tant par les entités financières que par les grandes entreprises technologiques désormais placées sous la supervision directe des ESAs.

4. Recommandations : à la suite de ces examens, les ESAs émettront des recommandations officielles et des suivis auprès des CTPP pour remédier aux risques et vulnérabilités identifiés.

1.3. L'objectif final : atténuer le risque systémique

L'objectif ultime de ce cadre de surveillance est de renforcer l'ensemble de l'écosystème financier de l'UE. Grâce à la surveillance des risques liés aux prestataires tiers TIC, le Forum de surveillance vise à atténuer les risques de concentration et les risques transsectoriels. Il s'agit notamment de traiter les vulnérabilités qui apparaissent lorsque trop d'entités financières dépendent d'un seul fournisseur technologique - une dépendance connue sous le nom de risque de concentration - contribuant ainsi à une plus grande résilience opérationnelle numérique du secteur financier européen dans son ensemble.

2. Promouvoir la convergence de la supervision à travers l'UE

Parallèlement à la supervision directe, les ESAs intensifieront leurs efforts pour garantir une application cohérente de DORA dans tous les États membres, afin de créer des conditions de concurrence équitables et d'éviter la fragmentation réglementaire.

Les deux objectifs clés de la convergence de la supervision sont :

• Mise en œuvre harmonisée : les ESAs continueront de promouvoir une application harmonisée du cadre DORA entre toutes les autorités compétentes.

• Identification des écarts : elles identifieront activement les domaines où une plus grande convergence des pratiques de supervision est nécessaire, en déployant les outils appropriés - tels que la publication d'orientations de supervision, la réalisation d'examens par les pairs ou l'élaboration de normes techniques contraignantes - pour combler ces lacunes.

3. Renforcer la déclaration d'incidents et la coordination de crise

En 2026, les ESAs développeront leurs nouvelles fonctions liées à la gestion des incidents TIC et à la coordination des réponses face aux crises majeures, renforçant ainsi la capacité collective du secteur à réagir face à des menaces significatives.

3.1. Déclaration centralisée des incidents

Les ESAs continueront de collecter les incidents liés aux TIC rapportés par les autorités compétentes. Ces données centralisées fournissent une base empirique permettant aux ESAs d'identifier les faiblesses systémiques et de cibler leurs examens des CTPP sur les vulnérabilités les plus critiques. Cette analyse aboutira à un rapport annuel sur les principaux incidents liés aux TIC, fournissant des informations précieuses sur la supervision des risques TIC au sein des entités financières.

3.2. Mise en œuvre du cadre européen de coordination des incidents cybersystémiques (EU‑SCICF)

Une priorité majeure pour 2026 est la poursuite de la mise en œuvre opérationnelle du cadre paneuropéen de coordination des incidents cybersystémiques (EU‑SCICF). Ce cadre vise à renforcer la capacité de l'UE à réagir en cas d'incident cybersystémique susceptible de menacer la stabilité financière.

Les principales activités comprennent :

• Le développement et le test d'outils, de procédures et d'accords de coordination.

• L'établissement de coopérations avec d'autres cadres de gestion de crise, tels que EU Cyclone et le Le groupe d'experts cybersécurité du G7 (CEG).

• La conduite de tests dédiés du cadre afin d'en garantir la préparation et l'efficacité.

Conclusion : 2026 – L'année où DORA passe à l'action

2026 est l'année où DORA passe du statut de texte réglementaire à celui d'un dispositif de supervision dynamique et actif. Le plan d'action des ESAs témoigne d'un engagement clair à mettre en pratique les principes du cadre. En activant le cadre de supervision des CTPP, en favorisant la convergence de la supervision et en opérationnalisant les mécanismes de réponse aux crises, ces actions coordonnées renforceront fondamentalement la stabilité numérique du marché financier européen, inaugurant une ère de supervision proactive et directe des risques numériques systémiques.