Nos derniers articles

En 2024, le secteur financier français a démontré une santé robuste et une croissance stratégique. Naviguant avec succès dans un environnement économique et géopolitique complexe, les banques et les assurances ont consolidé leurs fondamentaux en matière de rentabilité et de solvabilité tout en renforçant leur présence internationale. Le rapport de l'ACPR dresse ainsi le portrait d'un secteur résilient et agile, tout en soulignant les points de vigilance à venir, notamment la surveillance continue du risque de crédit et l'adaptation aux nouvelles réglementations comme DORA.

Le Comité mixte des AES (Autorités européennes de surveillance) a établi un plan global axé sur la mise en œuvre et la supervision du règlement DORA. Un pilier central en est le cadre de surveillance DORA, dans lequel le Forum de surveillance désignera les prestataires tiers critiques (CTPPs) d’ici la fin de l’année 2025.
À partir de 2026, un superviseur principal sera désigné pour chaque CTPP. Celui-ci, assisté par des équipes conjointes d’examen (JETs), mènera des évaluations des risques et des activités de supervision directe, qui serviront à élaborer des plans de surveillance individuels annuels ainsi que des plans stratégiques pluriannuels.
Ce cadre vise à surveiller les risques liés aux prestataires tiers TIC afin de réduire les risques de concentration et les risques transsectoriels. Un objectif parallèle clé est de favoriser la convergence de la supervision, afin d’assurer une mise en œuvre et une supervision harmonisées du cadre DORA à travers l’Union européenne.
Les AES mettent également en œuvre de nouvelles fonctions prévues par DORA, notamment la collecte de rapports d’incidents liés aux TIC afin d’alimenter les activités de surveillance et d’apporter une meilleure compréhension de la supervision des risques TIC au sein des entités financières. Elles mettent aussi en place le cadre européen de coordination des incidents cybernétiques systémiques (EU-SCICF), destiné à renforcer la réponse au niveau de l’UE face aux incidents systémiques menaçant la stabilité financière.
L’objectif ultime de cet ensemble d’actions est de renforcer considérablement la résilience opérationnelle numérique et la stabilité du secteur financier de l’Union européenne.

Le rapport 2024 sur la convergence de la supervision de l’EBA fait de la mise en œuvre de DORA une priorité stratégique européenne pour 2024–2026. L’Autorité renforce les capacités des superviseurs via la Supervisory Digital Finance Academy, soutenue par la Commission européenne. La hausse des questions liées à DORA révèle les défis du secteur : gestion des prestataires TIC, incidents, prestataires critiques et registre d’informations. Les institutions financières doivent s’attendre à une supervision plus technique et rigoureuse, et renforcer leurs dispositifs de résilience opérationnelle numérique pour répondre à des autorités mieux formées et plus exigeantes.

EBA has designated the development of supervisory capacity for DORA as a top-tier Union-wide strategic supervisory priority for the 2024-2026 cycle. Underscoring this priority are pressing industry concerns, evidenced by the submission of 28 new Q&As focused on 𝗗𝗢𝗥𝗔’𝘀 𝗽𝗿𝗶𝗺𝗮𝗿𝘆 𝗶𝗺𝗽𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 𝗵𝘂𝗿𝗱𝗹𝗲𝘀: 𝗜𝗖𝗧 𝘁𝗵𝗶𝗿𝗱-𝗽𝗮𝗿𝘁𝘆 𝗿𝗶𝘀𝗸 𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁, 𝘁𝗵𝗲 𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁 𝗮𝗻𝗱 𝗿𝗲𝗽𝗼𝗿𝘁𝗶𝗻𝗴 𝗼𝗳 𝗜𝗖𝗧-𝗿𝗲𝗹𝗮𝘁𝗲𝗱 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁𝘀, 𝘁𝗵𝗲 𝗼𝘃𝗲𝗿𝘀𝗶𝗴𝗵𝘁 𝗼𝗳 𝗰𝗿𝗶𝘁𝗶𝗰𝗮𝗹 𝗽𝗿𝗼𝘃𝗶𝗱𝗲𝗿𝘀, 𝗮𝗻𝗱 𝘁𝗵𝗲 𝗺𝗮𝗶𝗻𝘁𝗲𝗻𝗮𝗻𝗰𝗲 𝗼𝗳 𝘁𝗵𝗲 𝗿𝗲𝗴𝗶𝘀𝘁𝗲𝗿 𝗼𝗳 𝗶𝗻𝗳𝗼𝗿𝗺𝗮𝘁𝗶𝗼𝗻. In response, the EBA is executing a significant capacity-building initiative, delivering intensive, advanced training to supervisors through the Supervisory Digital Finance Academy (SDFA)—a multi-year effort coordinated with and backed by the European Commission. This convergence of strategic prioritization, targeted industry queries, and comprehensive supervisory training signals a new era of heightened and more sophisticated regulatory scrutiny. In consequence the digital operational resilience frameworks must be prepared to withstand proactive, in-depth, and increasingly specialized reviews from better-equipped competent authorities.

Les recommandations d’Insurance Europe, publiées en amont du paquet « Omnibus numérique » de la Commission européenne, proposent des règles numériques européennes plus claires et cohérentes. L’organisation considère le secteur de l’assurance comme un acteur central de la transition numérique de l’Europe, soulignant ses investissements dans la cyber-résilience, l’utilisation responsable des données, ainsi que dans les outils d’intelligence artificielle permettant d’accélérer les indemnisations, d’améliorer la prévention, de renforcer la sécurité des données et d’élargir l’accès des consommateurs.

Le cadre réglementaire existant — comprenant notamment le règlement sur l’IA (AI Act), le RGPD, le règlement DORA et l’Acte sur la cyber-résilience (CRA) — est décrit comme complexe, en raison d’exigences qui se chevauchent. Cette situation entrave la mise en œuvre pratique des règles et détourne des ressources qui pourraient être consacrées à l’amélioration des services.

Les recommandations appellent à :
• des clarifications sur le champ d’application de l’IA afin d’éviter les chevauchements avec la législation financière ;
• une réduction des obligations de reporting répétitives dans le cadre de DORA, en s’appuyant sur les certifications existantes ;
• une harmonisation des règles de cybersécurité et d’informatique en nuage entre DORA, le CRA et les cadres nationaux et des orientations plus claires concernant le RGPD, l’AI Act et le Data Act pour l’utilisation des données dans la formation des IA et leur anonymisation.

Ces ajustements permettraient de réorienter les ressources vers une meilleure gestion des sinistres, une protection renforcée contre la cybercriminalité, une prévention accrue et des produits plus accessibles pour les consommateurs.

Insurance Europe's recommendations ahead of the EU Commission’s Digital Omnibus package propose clearer and more consistent EU digital rules. The organization views the insurance sector as central to Europe's digital transition, citing its investments in cyber resilience, responsible data use, and AI tools for faster claims, improved prevention, safer data handling, and expanded consumer access.
The existing framework—including the AI Act, GDPR, DORA, and Cyber Resilience Act— is described as creating complexity through overlapping requirements, which hinders practical application and diverts resources from service enhancements.
The recommendations call for clarifications on AI scopes to avoid duplication with financial laws; reduced repetitive reporting under DORA with use of existing certifications; alignment of cybersecurity and cloud rules across DORA, CRA, and national frameworks; and clearer guidance on GDPR, AI Act, and Data Act for data use in AI training and anonymization.
These adjustments would redirect resources to better claims, cyber protection, prevention, and accessible products.

En 2026, l’Autorité Bancaire Européenne (EBA) intensifie la mise en œuvre du règlement DORA face aux cybermenaces croissantes et à la dépendance aux fournisseurs tiers. Les priorités incluent la surveillance directe des fournisseurs tiers critiques (CTPPs) via un cadre conjoint avec l’ESMA et l’EIOPA, des inspections ciblées et des analyses thématiques. L’EBA renforcera l’analyse des incidents TIC et publiera un rapport annuel sur les cybermenaces. Les institutions financières devront améliorer leurs cadres de gestion des risques TIC et leur résilience interne, sous une supervision accrue, pour assurer conformité et robustesse dans un environnement numérique complexe.

The EBA, alongside ESMA and EIOPA, plans 𝗷𝗼𝗶𝗻𝘁 𝗼𝘃𝗲𝗿𝘀𝗶𝗴𝗵𝘁 𝗼𝗳 𝗖𝗿𝗶𝘁𝗶𝗰𝗮𝗹 𝗜𝗖𝗧 𝗧𝗵𝗶𝗿𝗱-𝗣𝗮𝗿𝘁𝘆 𝗣𝗿𝗼𝘃𝗶𝗱𝗲𝗿𝘀 (𝗖𝗧𝗣𝗣𝘀) from 2026, following their 2025 designation. Measures include direct engagement on governance, thematic contract reviews, and 𝗼𝗻𝘀𝗶𝘁𝗲 𝗶𝗻𝘀𝗽𝗲𝗰𝘁𝗶𝗼𝗻𝘀 𝗼𝗳 𝗵𝗶𝗴𝗵-𝗿𝗶𝘀𝗸 𝗮𝗿𝗲𝗮𝘀, with recommendations passed to financial entities. Supervisors will assess institutions’ 𝗜𝗖𝗧 𝘁𝗵𝗶𝗿𝗱-𝗽𝗮𝗿𝘁𝘆 𝗿𝗶𝘀𝗸 𝗺𝗮𝗻𝗮𝗴𝗲𝗺𝗲𝗻𝘁, 𝗶𝗻𝗰𝗶𝗱𝗲𝗻𝘁 𝗿𝗲𝘀𝗽𝗼𝗻𝘀𝗲, 𝗮𝗻𝗱 𝗰𝘆𝗯𝗲𝗿𝘀𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗽𝗿𝗲𝗽𝗮𝗿𝗲𝗱𝗻𝗲𝘀𝘀, 𝗶𝗻𝗰𝗹𝘂𝗱𝗶𝗻𝗴 𝗹𝗲𝗴𝗮𝗰𝘆 𝘀𝘆𝘀𝘁𝗲𝗺 𝗿𝗶𝘀𝗸𝘀. The EBA will analyze major ICT incidents, contribute to a pan-European coordination framework for systemic events, collect new datasets via EUCLID, and support supervisory convergence to ensure 𝗰𝗼𝗻𝘀𝗶𝘀𝘁𝗲𝗻𝘁 𝗗𝗢𝗥𝗔 𝗶𝗺𝗽𝗹𝗲𝗺𝗲𝗻𝘁𝗮𝘁𝗶𝗼𝗻 𝗮𝗰𝗿𝗼𝘀𝘀 𝘁𝗵𝗲 𝗘𝗨.

The white paper examines how the EU’s **NIS2 Directive** and **DORA Regulation** impose resilience, security, and compliance obligations on critical and financial-sector entities. It describes how NIS2 applies broadly to “essential” and “important” operators, while DORA targets financial firms, and compares their requirements for risk management, incident reporting, audits, third-party oversight, governance, testing, and information sharing. The document outlines potential penalties for noncompliance, the need for gap assessments and harmonization across jurisdictions, and emphasizes that entities both inside and outside the EU may be affected by these rules.

The report discusses the growing threat of cyber risk to the EU's financial stability. Key points include:

• Cyber risk is a significant and systemic threat to the EU's financial sector, with increasing frequency and sophistication of attacks.

• Factors amplifying risk include geopolitical tensions, third-party IT dependencies, and the dual-edged impact of AI.

• The financial sector, including banks and insurers, faces tangible impacts from cyber threats.

• DORA is seen as a critical step requiring ongoing commitment to vigilance and resource allocation for digital infrastructure defense.