Le rapport 2024 sur la convergence de la supervision de l’EBA fait de la mise en œuvre de DORA une priorité stratégique européenne pour 2024–2026. L’Autorité renforce les capacités des superviseurs via la Supervisory Digital Finance Academy, soutenue par la Commission européenne. La hausse des questions liées à DORA révèle les défis du secteur : gestion des prestataires TIC, incidents, prestataires critiques et registre d’informations. Les institutions financières doivent s’attendre à une supervision plus technique et rigoureuse, et renforcer leurs dispositifs de résilience opérationnelle numérique pour répondre à des autorités mieux formées et plus exigeantes.
EBA has designated the development of supervisory capacity for DORA as a top-tier Union-wide strategic supervisory priority for the 2024-2026 cycle. Underscoring this priority are pressing industry concerns, evidenced by the submission of 28 new Q&As focused on 𝗗𝗢𝗥𝗔’𝘀 𝗽𝗿𝗶𝗺𝗮𝗿𝘆 𝗶𝗺𝗽𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 𝗵𝘂𝗿𝗱𝗹𝗲𝘀: 𝗜𝗖𝗧 𝘁𝗵𝗶𝗿𝗱-𝗽𝗮𝗿𝘁𝘆 𝗿𝗶𝘀𝗸 𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁, 𝘁𝗵𝗲 𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁 𝗮𝗻𝗱 𝗿𝗲𝗽𝗼𝗿𝘁𝗶𝗻𝗴 𝗼𝗳 𝗜𝗖𝗧-𝗿𝗲𝗹𝗮𝘁𝗲𝗱 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁𝘀, 𝘁𝗵𝗲 𝗼𝘃𝗲𝗿𝘀𝗶𝗴𝗵𝘁 𝗼𝗳 𝗰𝗿𝗶𝘁𝗶𝗰𝗮𝗹 𝗽𝗿𝗼𝘃𝗶𝗱𝗲𝗿𝘀, 𝗮𝗻𝗱 𝘁𝗵𝗲 𝗺𝗮𝗶𝗻𝘁𝗲𝗻𝗮𝗻𝗰𝗲 𝗼𝗳 𝘁𝗵𝗲 𝗿𝗲𝗴𝗶𝘀𝘁𝗲𝗿 𝗼𝗳 𝗶𝗻𝗳𝗼𝗿𝗺𝗮𝘁𝗶𝗼𝗻. In response, the EBA is executing a significant capacity-building initiative, delivering intensive, advanced training to supervisors through the Supervisory Digital Finance Academy (SDFA)—a multi-year effort coordinated with and backed by the European Commission. This convergence of strategic prioritization, targeted industry queries, and comprehensive supervisory training signals a new era of heightened and more sophisticated regulatory scrutiny. In consequence the digital operational resilience frameworks must be prepared to withstand proactive, in-depth, and increasingly specialized reviews from better-equipped competent authorities.
Les recommandations d’Insurance Europe, publiées en amont du paquet « Omnibus numérique » de la Commission européenne, proposent des règles numériques européennes plus claires et cohérentes. L’organisation considère le secteur de l’assurance comme un acteur central de la transition numérique de l’Europe, soulignant ses investissements dans la cyber-résilience, l’utilisation responsable des données, ainsi que dans les outils d’intelligence artificielle permettant d’accélérer les indemnisations, d’améliorer la prévention, de renforcer la sécurité des données et d’élargir l’accès des consommateurs.
Le cadre réglementaire existant — comprenant notamment le règlement sur l’IA (AI Act), le RGPD, le règlement DORA et l’Acte sur la cyber-résilience (CRA) — est décrit comme complexe, en raison d’exigences qui se chevauchent. Cette situation entrave la mise en œuvre pratique des règles et détourne des ressources qui pourraient être consacrées à l’amélioration des services.
Les recommandations appellent à :
• des clarifications sur le champ d’application de l’IA afin d’éviter les chevauchements avec la législation financière ;
• une réduction des obligations de reporting répétitives dans le cadre de DORA, en s’appuyant sur les certifications existantes ;
• une harmonisation des règles de cybersécurité et d’informatique en nuage entre DORA, le CRA et les cadres nationaux et des orientations plus claires concernant le RGPD, l’AI Act et le Data Act pour l’utilisation des données dans la formation des IA et leur anonymisation.
Ces ajustements permettraient de réorienter les ressources vers une meilleure gestion des sinistres, une protection renforcée contre la cybercriminalité, une prévention accrue et des produits plus accessibles pour les consommateurs.
Insurance Europe's recommendations ahead of the EU Commission’s Digital Omnibus package propose clearer and more consistent EU digital rules. The organization views the insurance sector as central to Europe's digital transition, citing its investments in cyber resilience, responsible data use, and AI tools for faster claims, improved prevention, safer data handling, and expanded consumer access.
The existing framework—including the AI Act, GDPR, DORA, and Cyber Resilience Act— is described as creating complexity through overlapping requirements, which hinders practical application and diverts resources from service enhancements.
The recommendations call for clarifications on AI scopes to avoid duplication with financial laws; reduced repetitive reporting under DORA with use of existing certifications; alignment of cybersecurity and cloud rules across DORA, CRA, and national frameworks; and clearer guidance on GDPR, AI Act, and Data Act for data use in AI training and anonymization.
These adjustments would redirect resources to better claims, cyber protection, prevention, and accessible products.
Le rapport du Financial Stability Board (FSB) met en lumière des risques systémiques liés à l’adoption de l’intelligence artificielle (IA) dans la finance, au-delà des récits d’efficacité. Il souligne que les institutions financières dépendent de plus en plus de technologies externes, notamment de quelques géants technologiques, pour les modèles d’IA et les infrastructures. Ce rapport identifie quatre risques majeurs : une dépendance croissante à des tiers, une concentration alarmante dans la chaîne d’approvisionnement, des difficultés de régulation dues à des définitions incohérentes et le risque de panurgisme numérique amplifiant les instabilités de marché. Les efforts de surveillance restent embryonnaires, soulignant un défi majeur pour la stabilité financière.
Le cadre juridique global de l’UE en matière de LBC/FT, aligné sur les normes internationales du GAFI, est centré sur l’Approche basée sur les risques (ABR). Ce principe impose une double application, définissant les responsabilités tant des autorités de supervision que des institutions financières. Les Autorités nationales compétentes (ANC) sont tenues de mener une supervision adaptée aux risques, garantissant que leur contrôle soit proportionné aux menaces identifiées. Parallèlement, les banques doivent mettre en œuvre des systèmes internes, des contrôles et des mesures de vigilance à l’égard de la clientèle efficaces, fondés sur leurs propres évaluations des risques. L’objectif stratégique de l’ABR est de veiller à ce que les efforts de supervision et les ressources institutionnelles soient alloués de manière proportionnée et efficace aux risques de BC/FT les plus élevés.
The EU's comprehensive AML/CFT legal framework, aligned with international FATF standards, is centered on the Risk-Based Approach (RBA). This principle mandates a dual application, defining responsibilities for both supervisory bodies and financial institutions. National Competent Authorities (NCAs) are mandated to conduct risk-sensitive supervision, ensuring their oversight is proportionate to identified threats. Concurrently, banks must implement effective internal systems, controls, and customer due diligence based on their own risk assessments. The strategic purpose of the RBA is to ensure that both supervisory efforts and institutional resources are allocated proportionately and effectively against the greatest ML/TF risks.
Cet article explore la tension entre transformation numérique et conformité réglementaire dans le secteur de l’assurance, où innovation technologique et maîtrise du risque doivent désormais coexister. S’appuyant sur une étude récente, il analyse l’impact du cloud, de l’IA et de l’IoT sur la résilience opérationnelle, révélant une corrélation forte entre digitalisation et incidents de sécurité. L’étude met en évidence des vulnérabilités critiques — notamment dans la chaîne d’approvisionnement logicielle et la sécurité IoT — et décrit la mutation du marché de la cyber-assurance. Enfin, elle propose des leviers stratégiques pour renforcer la résilience et assurer la stabilité financière numérique.
This study on the insurance sector’s digital transformation highlights a paradox: adopting technologies like cloud computing, AI, and IoT enhances efficiency but increases cybersecurity risks. A survey of 150 professionals and interviews with 15 executives show a strong correlation (r = .78, p < .01) between digital technology use and security incidents, with phishing (88%), cloud misconfigurations (45%), and IoT vulnerabilities (25%) prevalent. Traditional defenses score high (e.g., network perimeter: 4.1/5), but IoT and software supply chain security lag (2.4–2.7/5). Cyber insurance now uses dynamic risk assessments, with 90% of underwriters employing external security ratings and 75% applying surcharges for high-risk technologies.
𝗜𝗡𝗦𝗨𝗥𝗔𝗡𝗖𝗘 𝗘𝗨𝗥𝗢𝗣𝗘 𝗔𝗡𝗗 𝗧𝗛𝗘 𝗘𝗨𝗥𝗢𝗣𝗘𝗔𝗡 𝗜𝗡𝗦𝗨𝗥𝗔𝗡𝗖𝗘 𝗖𝗙𝗢 𝗙𝗢𝗥𝗨𝗠 𝗥𝗘𝗦𝗣𝗢𝗡𝗗 𝗧𝗢 𝗧𝗛𝗘 𝗘𝗙𝗥𝗔𝗚 𝗖𝗢𝗡𝗦𝗨𝗟𝗧𝗔𝗧𝗜𝗢𝗡 𝗢𝗡 𝗧𝗛𝗘 𝗘𝗫𝗣𝗢𝗦𝗨𝗥𝗘 𝗗𝗥𝗔𝗙𝗧𝗦 𝗢𝗙 𝗧𝗛𝗘 𝗘𝗨𝗥𝗢𝗣𝗘𝗔𝗡 𝗦𝗨𝗦𝗧𝗔𝗜𝗡𝗔𝗕𝗜𝗟𝗜𝗧𝗬 𝗥𝗘𝗣𝗢𝗥𝗧𝗜𝗡𝗚 𝗦𝗧𝗔𝗡𝗗𝗔𝗥𝗗𝗦
Insurance Europe and the European Insurance CFO Forum responded to the EFRAG consultation on the revised Exposure Drafts of the European Sustainability Reporting Standards (ESRS). In their joint letter, views were expressed that while simplification efforts were welcomed, the standards remain too complex and burdensome.
The organizations called for 𝗳𝗮𝗶𝗿 𝗽𝗿𝗲𝘀𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 to be confirmed as an overarching principle prioritizing relevance and proportionality. They stated the 𝗗𝗼𝘂𝗯𝗹𝗲 𝗠𝗮𝘁𝗲𝗿𝗶𝗮𝗹𝗶𝘁𝘆 𝗔𝘀𝘀𝗲𝘀𝘀𝗺𝗲𝗻𝘁 (𝗗𝗠𝗔) is still overly complex and suggested the materiality filter should apply across all standards. They also recommended requiring only 𝗾𝘂𝗮𝗹𝗶𝘁𝗮𝘁𝗶𝘃𝗲 𝗱𝗶𝘀𝗰𝗹𝗼𝘀𝘂𝗿𝗲𝘀 for anticipated financial effects and supported 𝗲𝘅𝗲𝗺𝗽𝘁𝗶𝗻𝗴 𝗳𝗶𝗻𝗮𝗻𝗰𝗶𝗮𝗹 𝗶𝗻𝘀𝘁𝗶𝘁𝘂𝘁𝗶𝗼𝗻𝘀 𝗳𝗿𝗼𝗺 𝗱𝗶𝘀𝗰𝗹𝗼𝘀𝗶𝗻𝗴 𝗮𝗯𝘀𝗼𝗹𝘂𝘁𝗲 𝗚𝗛𝗚 𝗿𝗲𝗱𝘂𝗰𝘁𝗶𝗼𝗻 𝘁𝗮𝗿𝗴𝗲𝘁𝘀 when intensity targets are set, arguing the latter better reflects their role in financing transition.