Analyse des avancées du rapport annuel 2025

Sommaire : En 2025, l'EBA a opéré un pivot stratégique de la réglementation vers la supervision directe liée au règlement DORA, soutenu par une simplification de son cadre pour optimiser ses ressources.
Les avancées majeures incluent la finalisation du cadre normatif et la désignation de 19 prestataires tiers critiques (CTPP), déclenchant une surveillance active pour réduire les dépendances hors UE. Face à la numérisation et aux cybermenaces, l'EBA a renforcé la gestion des incidents et intégré les risques opérationnels dans ses tests de résistance. Pour 2026, les priorités visent la réduction de la charge de reporting et l'harmonisation de la supervision.

1. Introduction et contexte institutionnel

L'année 2025 a marqué un tournant stratégique majeur pour l'Autorité Bancaire Européenne (EBA). Cette période représente une phase de transition charnière, caractérisée par le passage de la conception de politiques réglementaires à la mise en œuvre opérationnelle de DORA.

Sous l'impulsion du Comité consultatif sur la proportionnalité (ACP), l'EBA a placé la simplification réglementaire au centre de son agenda. Ce pivot ne constitue pas une déréglementation, mais une optimisation rigoureuse visant à garantir que le cadre de surveillance demeure efficace, lisible et adapté à une numérisation galopante des services financiers.

2. Évolution du rôle de l'EBA : un pivot stratégique vers la supervision directe

Le rapport 2025 détaille un changement de paradigme fondamental : un rééquilibrage des ressources délaissant la fonction historique de « législateur » au profit d'une supervision active au niveau de l'Union Européenne. Ce basculement a été rendu possible par l'achèvement des travaux préparatoires critiques :

• Finalisation du cadre normatif : Livraison de l'intégralité des Normes techniques réglementaires (RTS) et d'exécution requises par DORA.
• Capacité opérationnelle : Déploiement de méthodologies de surveillance, de systèmes informatiques dédiés et de structures de gouvernance interne.
• Coordination inter-autorités : Établissement de cadres d'examen conjoints avec les autres autorités de surveillance européennes (ESAs), assurant une convergence stricte des pratiques.

Afin de libérer les ressources nécessaires à ces nouveaux mandats complexes (DORA et MiCA), l'EBA a appliqué les conclusions de son « Rapport sur l'efficience du cadre réglementaire et de surveillance » publié en octobre 2025. Ce document, fruit de la Task Force sur l'efficience, a formulé 21 recommandations concrètes ayant conduit l'Autorité à déprioriser environ 20 % de ses mandats à venir pour se concentrer sur les dossiers les plus matériels.

3. La surveillance des prestataires tiers critiques (CTPP)

L'activation du cadre de surveillance des prestataires de services TIC tiers considérés comme critiques constitue l'avancée opérationnelle majeure de l'exercice 2025.

Faits marquants et désignations :

• 19 prestataires de services TIC tiers critiques ont été officiellement désignés sous le régime de DORA.
• Cette désignation a déclenché le lancement immédiat d'activités de surveillance continue, pilotées par l'EBA en collaboration avec les autorités nationales.

Objectifs de surveillance stratégique :

• Monitoring et atténuation des risques TIC systémiques pour préserver la stabilité du secteur financier.
• Réduction de la vulnérabilité systémique liée aux dépendances envers des prestataires tiers situés en dehors de l'Union Européenne ou de l'Espace Économique Européen (UE/EEE).

4. Analyse du paysage des risques et résilience opérationnelle

L'EBA observe une intensification des interconnexions entre le secteur bancaire traditionnel et les institutions financières non bancaires, créant de nouveaux canaux de contagion. Le rapport souligne que la transformation numérique, bien qu'offrant des gains d'efficience, multiplie les vecteurs de fraude et d'incidents cyber.

« L'EBA a identifié des vulnérabilités persistantes, notamment les pressions sur l'immobilier commercial, les risques géopolitiques et l'escalade des menaces cybernétiques alimentées par la numérisation rapide des services financiers et le recours accru à des prestataires tiers critiques. » (Résumé analytique, Rapport annuel 2025).

En réponse, une importance capitale a été accordée en 2025 à la préparation opérationnelle. L'évaluation des cadres de gestion des incidents a été renforcée pour s'assurer que les institutions sont capables non seulement de prévenir, mais surtout d'absorber et de se rétablir après un choc technologique majeur.

5. Interdépendances et vulnérabilités systémiques

L'analyse de l'EBA en 2025 distingue deux niveaux de risques critiques :

• Risques micro-prudentiels : Liés à la gestion individuelle de la concentration des infrastructures cloud et des systèmes de paiement par les institutions.
• Risques systémiques : Portant sur la dépendance collective du marché envers un nombre restreint de fournisseurs dominants, particulièrement ceux situés hors de la juridiction de l'UE.

Pour quantifier ces risques, l'EBA a intégré des scénarios de rupture opérationnelle dans ses outils de diagnostic. L'exercice de test de résistance (stress test) de 2025, couvrant 64 banques représentant environ 75 % des actifs bancaires de l'UE, a confirmé la solidité du secteur face à des chocs macro-financiers sévères, tout en soulignant la nécessité d'une vigilance accrue sur les expositions technologiques transfrontalières.

6. Perspectives et continuité de l'agenda de simplification

L'EBA entend poursuivre la rationalisation de ses exigences pour soutenir la compétitivité du marché unique. Le rapport souligne le rôle crucial du Joint Bank Reporting Committee (JBRC) dans l'intégration des flux de données.

Orientations stratégiques pour 2026 :

• Réduction de la charge de reporting : Poursuite de l'intégration sémantique des rapports de surveillance, statistiques et de résolution pour éliminer les doublons.
• Stabilisation du Single Rulebook : Consolidation du Recueil unique de règles afin d'offrir une prévisibilité réglementaire maximale aux institutions.
• Convergence de supervision : Harmonisation de l'application des nouveaux mandats de résilience numérique pour garantir l'équité des conditions de concurrence (level playing field) à travers l'Union.

L'Autorité conclut sur la nécessité de maintenir une approche pragmatique, où la robustesse du système financier européen repose autant sur la qualité de sa surveillance directe que sur l'efficience de ses règles.