Dans l'histoire de la réglementation financière européenne, le règlement DORA (EU) 2022/2554 occupe une place singulière. C'est le premier texte à traiter la résilience opérationnelle numérique du secteur financier dans sa globalité, de façon harmonisée et directement applicable dans les 27 États membres. Avant DORA, ce domaine était couvert par une multitude de textes sectoriels, de guidelines non contraignantes et de réglementations nationales disparates.

Un Règlement à Double Nature

Le règlement DORA présente une double nature qui le distingue des textes financiers antérieurs. D'un côté, c'est un règlement de substance qui impose des obligations précises et opérationnelles aux entités financières. De l'autre, c'est un règlement cadre qui délègue à trois autorités européennes (EBA, EIOPA, ESMA) l'élaboration de normes techniques détaillées. Cette architecture à deux niveaux assure à la fois la cohérence de haut niveau et la précision technique nécessaire à chaque sous-secteur.

Niveau 1 : Les 64 Articles du Règlement

Les 64 articles du règlement DORA posent le cadre de principes et d'obligations générales. Ils définissent les entités concernées, les cinq domaines d'exigences, les pouvoirs des superviseurs nationaux et européens, et le régime de sanctions. Ce niveau 1 est adopté par le Parlement européen et le Conseil, représentant la légitimité démocratique maximale.

Niveau 2 : Les RTS et ITS Sectoriels

Les normes techniques réglementaires (RTS) et d'exécution (ITS) constituent le niveau 2 de DORA. Élaborées par l'EBA pour les banques, l'EIOPA pour les assurances et l'ESMA pour les marchés, elles précisent les modalités techniques d'application. Adoptées par la Commission européenne sous forme d'actes délégués, elles ont la même force contraignante que le règlement lui-même.

Portée Géographique et Extraterritorialité

Le règlement DORA s'applique à toutes les entités financières établies dans l'Union européenne. Son extraterritorialité concerne les prestataires TIC qui, même établis hors UE, fournissent des services à des entités financières européennes. L'article 31 du règlement DORA impose que les prestataires TIC critiques non établis dans l'UE créent une filiale au sein de l'Union pour accéder au marché. Cette disposition cible directement les grands fournisseurs cloud américains.

Innovation : La Supervision Directe des Tiers

L'innovation majeure du règlement DORA réside dans l'instauration d'une supervision directe des prestataires TIC critiques par les autorités européennes de surveillance. Pour la première fois, une autorité européenne (EBA, EIOPA ou ESMA selon le secteur prédominant) peut directement inspecter, auditer et sanctionner un prestataire technologique. Cette extension du périmètre superviseur au-delà des seules entités financières est sans précédent dans le droit financier européen.

Conclusion

Le règlement DORA (EU) 2022/2554 représente une innovation réglementaire majeure à l'échelle européenne. Sa nature de règlement (application directe), son architecture à deux niveaux (principes + normes techniques), et sa portée étendue aux prestataires TIC en font un texte inédit. Il pose les fondations d'un secteur financier européen véritablement résilient à l'ère numérique.

Questions fréquentes

Le règlement DORA modifie-t-il d'autres règlements européens ?

Oui. Le règlement DORA modifie six textes européens existants : le règlement EMIR, la directive MiFID II, le règlement MiFIR, la directive Solvabilité II, la directive OPCVM et le règlement MiCA. Ces modifications visent à supprimer les doublons et assurer la cohérence du cadre réglementaire.

Qui supervise l'application du règlement DORA en France ?

En France, deux autorités sont compétentes selon les entités : l'ACPR (Autorité de Contrôle Prudentiel et de Résolution) pour les banques et assurances, et l'AMF (Autorité des Marchés Financiers) pour les entités des marchés financiers.