Introduction

Le dernier rapport sur la convergence de la supervision publié par l'Autorité bancaire européenne (EBA) offre une vision claire des priorités réglementaires européennes pour les prochaines années. Il met particulièrement en lumière l'importance croissante de la résilience opérationnelle numérique, au cœur de la mise en œuvre de DORA. Dans cet article, nous revenons sur les points essentiels du rapport et sur leurs implications concrètes pour la gestion des risques et de la conformité.

1. Une priorité stratégique européenne pour 2024–2026

L'EBA a défini le développement des capacités de supervision liées à DORA comme une priorité stratégique majeure à l'échelle de l'Union européenne. Parmi les deux priorités de supervision européennes (USSP) fixées pour la période 2024‑2026 figure une volonté politique claire : encadrer l'ensemble de la finance numérique sous un angle cohérent et harmonisé. L'EBA ne se contente pas d'annoncer cette priorité - elle y consacre des ressources humaines et techniques importantes, notamment à travers des actions de formation et d'accompagnement des autorités de supervision. Pour les institutions financières, le message est sans équivoque : la conformité DORA sera un axe central de l'attention réglementaire sur les trois prochaines années.

2. Un indicateur clé : la montée en puissance des questions DORA

L'un des signaux les plus parlants de l'impact de DORA est la hausse des demandes de clarification provenant du secteur. En 2024, sur les 329 nouvelles questions adressées à l'EBA, 28 concernaient spécifiquement DORA - un chiffre significatif pour un cadre encore récent.

Ces questions traduisent les principaux défis rencontrés par les acteurs financiers, notamment autour de :

• La gestion des prestataires tiers TIC (fournisseurs technologiques)

• La classification et le reporting des incidents liés aux TIC

• La supervision des prestataires tiers critiques (CTPPs)

• La tenue du registre des prestataires TIC

Cette dynamique a d'ailleurs renforcé la coopération entre l'EBA, l'ESMA et l'EIOPA, soulignant le caractère transversal de la réglementation DORA.

3. Former les superviseurs : un effort européen structuré

Afin de soutenir cette priorité, l'EBA a lancé un programme de formation ciblé en partenariat avec la Supervisory Digital Finance Academy (SDFA). L'objectif : renforcer l'expertise des autorités de supervision sur les aspects techniques et organisationnels de DORA.

En 2024, plusieurs sessions avancées ont été organisées, dont :

• le EU‑SDFA DORA Advanced Course

• le DORA Advanced Course

La SDFA est décrite comme une initiative pluriannuelle de la Commission européenne (DG REFORM), en collaboration avec les autorités européennes de supervision (ESAs). Ce dispositif témoigne d'un engagement durable et coordonné pour instaurer une supervision homogène et experte à l'échelle européenne.

4. Les enseignements clés 

Pour les équipes risques, conformité et IT, le rapport de l'EBA envoie des signaux clairs :

1. Une supervision plus exigeante.  DORA est désormais une priorité stratégique européenne : les audits et inspections sur la résilience opérationnelle numérique seront plus fréquents, plus détaillés et plus structurés.

2. Des zones de vigilance bien identifiées.  Les principales difficultés du secteur - gestion des tiers, reporting des incidents, registre d'informations - seront les premiers points d'attention des superviseurs.

3. Un dialogue plus technique avec les régulateurs. Les autorités seront mieux formées et plus spécialisées. Les institutions devront renforcer leurs compétences internes, leur documentation et leurs processus de gouvernance pour répondre à ce niveau d'exigence.

Conclusion

Le rapport de l'EBA confirme que DORA n'est plus une simple échéance réglementaire, mais bien un levier structurant de la supervision européenne. Les institutions financières doivent désormais considérer la résilience numérique comme un pilier à part entière de leur stratégie de conformité et de gestion des risques. Les prochains mois seront déterminants pour transformer les exigences réglementaires en pratiques opérationnelles solides et démontrer une maturité numérique durable face à des superviseurs de plus en plus exigeants.