Joint Committee 2025 : DORA et cyber-résilience au cœur du rapport annuel des superviseurs européens
Le Joint Committee des trois autorités européennes de supervision financière — EBA, EIOPA et ESMA — a publié le 24 avril 2026 son rapport annuel 2025. Trois priorités structurent l'agenda : digitalisation des marchés, cyber-résilience via la mise en œuvre de DORA, et finance durable. Une feuille de route qui dépasse largement le cercle des superviseurs et impacte directement les DPO et RSSI des entités financières et de leurs prestataires critiques.
Ce qui s'est passé
Présidé par l'EIOPA en 2025, le Joint Committee est la plateforme de coordination entre les trois autorités européennes de supervision (les ESAs), la Commission européenne et le Conseil européen du risque systémique (ESRB). Son rapport annuel, daté du 24 avril 2026, fait le bilan de l'année écoulée et trace les priorités pour 2026.
Quatre chantiers dominent : la protection des consommateurs sur des marchés financiers de plus en plus numériques, le renforcement de la résilience opérationnelle et cyber via l'implémentation du règlement DORA (Digital Operational Resilience Act), l'efficacité réelle des publications en finance durable, et la surveillance transversale des risques. À ces priorités s'ajoutent l'avancement du cadre européen de la titrisation, le déploiement du European Single Access Point (ESAP) et l'appui à l'innovation financière via l'EFIF.
Le rapport souligne aussi la contribution du Joint Committee aux travaux de simplification du cadre financier européen, notamment sur la finance durable et les produits PRIIPs.
Pourquoi c'est important
Pour les juristes et responsables conformité, ce rapport n'est pas qu'un exercice institutionnel : il consolide la trajectoire d'application de DORA et fixe le tempo des contrôles à venir. La résilience opérationnelle numérique cesse d'être une perspective lointaine — elle devient le prisme de lecture commun des superviseurs sectoriels.
Cette logique recoupe celle d'autres textes structurants. La directive NIS 2 impose à un large éventail d'entreprises un socle minimal de gestion du risque cyber et une chaîne d'incident à l'échelle européenne. Côté protection des données, l'article 32 du RGPD exige depuis 2018 des mesures techniques et organisationnelles « appropriées » incluant explicitement la résilience des systèmes — un standard que DORA vient transposer dans le langage prudentiel des autorités financières.
Le Joint Committee s'inscrit dans une dynamique européenne où chaque régulateur durcit ses attentes : l'EBA a déjà lancé ses « dry runs » de résilience en avril 2026 pour préparer les banques aux scénarios de crise opérationnelle, tandis que l'EDPS appelle à un guichet unique pour les notifications de violations dans son avis conjoint avec l'EDPB sur le paquet cybersécurité européen.
Ce que ça change pour les organisations
Les entités financières — banques, assureurs, gestionnaires d'actifs, plateformes de paiement — ainsi que leurs prestataires TIC critiques doivent intégrer trois enseignements concrets de ce rapport.
1. La cartographie DORA n'est plus optionnelle. Le Joint Committee insiste sur l'effectivité de la mise en œuvre, pas sur la documentation formelle. Les superviseurs sectoriels attendront en 2026 des registres de prestataires TIC tenus à jour, des tests de résilience documentés, et une chaîne de remontée d'incidents opérationnelle. Cela suppose d'aligner les obligations DORA avec celles découlant du RGPD en matière de sécurité des données, plutôt que de gérer deux silos parallèles.
2. Les publications « finance durable » seront challengées. Le rapport annonce une approche plus exigeante sur la qualité et la lisibilité des disclosures SFDR et CSRD. La conformité documentaire devient insuffisante : les superviseurs cherchent désormais à corréler les engagements publiés avec les pratiques réelles.
3. L'ESAP va recomposer la transparence. Le déploiement du point d'accès unique européen va massifier la mise à disposition des informations financières et ESG des entreprises. Les directions juridiques doivent dès maintenant cartographier les flux d'information remontés via l'ESAP et anticiper les risques d'incohérence avec leurs autres canaux publics.
Pour les organisations qui ne sont pas directement régulées par DORA mais qui sont prestataires d'entités financières, le message est clair : les exigences contractuelles vont durcir, avec audits renforcés et clauses de résilience standardisées. Une révision de la posture de cybersécurité interne devient un prérequis commercial, pas seulement réglementaire.
Ce que Leto pense de cette décision
Ce rapport confirme une bascule que nous observons depuis mi-2025 : la convergence opérationnelle entre RGPD, DORA, NIS 2 et AI Act n'est plus théorique, elle devient le mode d'emploi des superviseurs européens. Les organisations qui pilotent encore ces textes en silos perdront du temps en 2026. Notre recommandation : construire un référentiel de conformité unifié où les contrôles cyber répondent simultanément à l'article 32 RGPD, aux articles 5 à 14 de DORA et aux exigences NIS 2, plutôt que de multiplier les démarches parallèles. Le Joint Committee donne un signal fort en ce sens — le rôle des juristes est désormais d'opérationnaliser cette convergence avec leurs RSSI.
Sources :
• ESMA — Joint Committee annual report highlights digitalisation, cyber resilience and sustainable finance as key priorities of 2025
• EIOPA — European Insurance and Occupational Pensions Authority
• EBA — European Banking Authority
