**Mise en œuvre de DORA : Feuille de route des Autorités Européennes de Supervision pour la désignation des prestataires TIC critiques** Le règlement DORA (Digital Operational Resilience Act), entré en application le 17 janvier 2025, marque une étape décisive dans le renforcement de la résilience numérique du secteur financier européen. Ce règlement vise à assurer une protection accrue contre les risques liés aux technologies de l’information et aux cyberattaques, en mettant en place un cadre de supervision paneuropéen des prestataires de services TIC critiques (CTPP – Critical ICT Third-Party Providers). Dans ce cadre, les Autorités Européennes de Supervision (AES – EBA, EIOPA et ESMA) ont publié, le 18 février 2025, une feuille de route précisant les étapes nécessaires à la désignation de ces prestataires et au lancement de leur supervision effective. --- ## **Calendrier de désignation des prestataires TIC critiques** ### **Avant le 30 avril 2025 : Collecte des registres d’information** Conformément à DORA, les entités financières doivent documenter et déclarer aux autorités compétentes les accords qu’elles ont conclus avec des prestataires TIC tiers. Ces informations doivent ensuite être transmises par les autorités nationales aux AES au plus tard le 30 avril 2025. L’objectif de cette collecte est de permettre aux régulateurs européens d’établir une cartographie détaillée des relations contractuelles entre les entreprises du secteur financier et leurs fournisseurs de services TIC. Cette étape est cruciale pour identifier les prestataires dont les services sont considérés comme critiques pour la stabilité et la sécurité du système financier européen. ### **Avant juillet 2025 : Évaluation de la criticité et notifications** Sur la base des registres collectés, les AES procéderont à une évaluation approfondie de la criticité des prestataires TIC tiers. Cette évaluation repose sur les critères définis par DORA et les règlements délégués adoptés en 2024. Les prestataires jugés critiques recevront une notification officielle de leur classification. Une fois cette notification envoyée, une période de six semaines sera ouverte, au cours de laquelle les prestataires concernés auront la possibilité de contester cette classification en fournissant des éléments justificatifs démontrant qu’ils ne remplissent pas les critères de désignation. ### **Mi-septembre 2025 : Désignation finale et début de la supervision** À l’issue de la période de contestation, les AES procéderont à la désignation officielle des prestataires TIC critiques et entameront leur supervision effective. Les prestataires qui ne seront pas désignés critiques auront la possibilité de demander volontairement leur inclusion dans la liste des CTPP après sa publication. Cette option permet aux fournisseurs souhaitant bénéficier d’une reconnaissance réglementaire accrue de se soumettre aux obligations et contrôles imposés par DORA. Les modalités de cette demande seront précisées ultérieurement par les AES. --- ## **Mise en place du cadre de surveillance des CTPP** Pour assurer une supervision efficace et coordonnée des prestataires TIC critiques, les AES ont mis en place une structure de surveillance conjointe. Cette fonction de supervision est dirigée depuis octobre 2024 par un directeur commun, chargé de garantir une application harmonisée des règles et d’optimiser l’utilisation des ressources à l’échelle européenne. ### **Principaux aspects du cadre de supervision** * **Coordination entre les trois autorités de surveillance (EBA, EIOPA et ESMA)** pour assurer une approche unifiée du suivi des CTPP. * **Élaboration des méthodologies de contrôle** afin de garantir une surveillance rigoureuse et homogène des prestataires critiques dans tous les secteurs financiers. * **Développement de protocoles de coopération avec les autorités nationales compétentes** pour assurer un partage efficace des informations et une action rapide en cas d’incidents ou de non-conformité. ### **Cadre réglementaire applicable** La mise en œuvre du cadre de supervision des CTPP s’appuie sur plusieurs textes réglementaires complémentaires : * **Deux règlements délégués adoptés en 2024**, qui précisent les critères de désignation des CTPP et les obligations auxquelles ils sont soumis. * **Un règlement définissant les redevances que les prestataires TIC critiques devront verser** pour financer la supervision mise en place par les AES. * **Des lignes directrices sur la coopération entre les AES et les autorités nationales**, afin d’assurer une mise en œuvre cohérente des exigences de DORA à travers l’Union européenne. * **Les règles de reporting à destination des entités financières**, qui détaillent les modalités de transmission des registres d’information aux autorités de supervision. --- ## **Atelier en ligne prévu au deuxième trimestre 2025** Dans le cadre de la mise en œuvre de DORA, les AES prévoient d’organiser un atelier en ligne au cours du deuxième trimestre 2025. ### **Objectifs de cet atelier** * Informer les prestataires TIC tiers des exigences réglementaires qui leur seront appliquées en cas de désignation comme CTPP. * Présenter les critères d’évaluation retenus par les AES et les démarches à suivre en cas de contestation de la classification. * Clarifier les implications de la supervision et répondre aux questions des acteurs concernés. Les détails de cet événement, y compris la date exacte et les modalités d’inscription, seront annoncés ultérieurement. --- ## **Implications pour les acteurs du secteur financier et leurs fournisseurs TIC** ### **Pour les entités financières** * Obligation de documenter et de déclarer leurs accords avec des prestataires TIC tiers avant le 30 avril 2025. * Intégration des exigences de DORA dans leurs politiques de gestion des risques numériques et opérationnels. * Obligation de veiller à la conformité des prestataires TIC avec les nouvelles obligations réglementaires. ### **Pour les prestataires TIC tiers** * Les prestataires désignés comme critiques devront se soumettre à des obligations réglementaires strictes, notamment des audits réguliers et des exigences de cybersécurité renforcées. * Ceux qui ne seront pas désignés pourront demander volontairement leur inclusion dans la liste des CTPP afin de bénéficier d’une reconnaissance officielle et d’accroître leur attractivité sur le marché. --- ## **Un cadre réglementaire essentiel pour la résilience numérique du secteur financier** Avec la mise en place progressive du cadre de supervision des CTPP, DORA renforce la résilience opérationnelle du secteur financier face aux risques numériques et cybernétiques. Ce dispositif vise à : * **Réduire les vulnérabilités systémiques** liées aux dépendances technologiques et aux cyberattaques. * **Encadrer les relations entre les entités financières et leurs prestataires TIC** pour garantir la continuité des services en cas de crise. * **Assurer une surveillance harmonisée et efficace** au sein de l’Union européenne. La réussite de la mise en œuvre de DORA repose sur une coopération étroite entre les autorités de supervision, les acteurs du secteur financier et les fournisseurs de services TIC. **Accéder à la feuille de route des AES :** [Consulter le document officiel](https://www.eba.europa.eu/publications-and-media/press-releases/esas-provide-roadmap-towards-designation-ctpps-under-dora) Les prochains mois seront décisifs pour la mise en place de ce dispositif. Les entreprises concernées doivent dès à présent s’assurer de leur conformité avec les nouvelles obligations et anticiper les implications opérationnelles de la réglementation DORA. #dora #cybersécurité #financenumérique #régulation #banques #assurances #esma #eba #eiopa