DORA : les normes techniques (RTS/ITS)

Le règlement (UE) 2022/2554, dit DORA, fixe les grands principes de la résilience opérationnelle numérique du secteur financier, mais il ne dit pas tout. Une part importante du détail opérationnel est renvoyée à des textes complémentaires : les normes techniques de réglementation (RTS) et les normes techniques d'exécution (ITS). Comprendre leur rôle, c'est comprendre où se trouvent les exigences concrètes que devront appliquer les entités financières.

Ces normes ne sont pas un texte à part : elles précisent, article par article, ce que le règlement attend en pratique. C'est dans ce second niveau que se joue une bonne partie de la traduction des obligations en exigences vérifiables par un superviseur.

RTS et ITS : deux types de normes complémentaires

Les normes techniques de réglementation (RTS, pour Regulatory Technical Standards) précisent le contenu et les conditions de fond des obligations posées par DORA. Les normes techniques d'exécution (ITS, pour Implementing Technical Standards) portent plutôt sur les modalités d'application uniformes : formats, modèles, procédures standardisées. Les deux familles répondent à la même logique : éviter que chaque État membre ou chaque entité interprète le règlement à sa manière, et garantir un cadre uniforme dans toute l'Union.

Là où le règlement énonce un principe, la norme technique en fixe le mode d'emploi. C'est cette articulation qui permet de passer d'une obligation générale à une exigence opposable.

Qui élabore ces normes : les trois AES

Les normes techniques de DORA sont élaborées par les trois autorités européennes de surveillance (AES) : l'EBA pour le secteur bancaire, l'EIOPA pour l'assurance et les pensions professionnelles, et l'ESMA pour les marchés financiers. Ces trois autorités travaillent de façon coordonnée pour produire un corpus cohérent, applicable à l'ensemble du périmètre large d'entités visées par le règlement.

Concrètement, les AES préparent les projets de normes, les soumettent à consultation publique, puis les transmettent à la Commission européenne, à qui revient l'adoption formelle. Ce processus en plusieurs étapes explique pourquoi le corpus se construit progressivement plutôt que d'apparaître d'un seul bloc.

Ce que les RTS et ITS précisent

Les normes techniques couvrent les sujets les plus opérationnels du règlement. Elles précisent notamment les outils, méthodes et processus de gestion du risque lié aux technologies de l'information et de la communication (TIC). Elles détaillent les critères de classification des incidents liés aux TIC et les modalités de leur notification aux autorités compétentes, afin que la remontée d'information soit traitée de manière homogène d'une entité à l'autre.

Elles encadrent également la désignation des prestataires tiers critiques de services TIC, c'est-à-dire la manière dont certains prestataires sont identifiés comme suffisamment importants pour faire l'objet d'une surveillance dédiée. Enfin, elles précisent la conduite des activités de supervision elles-mêmes : comment les autorités exercent leur contrôle sur ce périmètre. Sur chacun de ces sujets, la norme technique transforme une exigence de principe en un cadre détaillé.

Un corpus en construction

Il faut considérer les RTS et ITS de DORA comme un ensemble en construction sous l'égide des AES, et non comme une liste figée. Les normes sont publiées par vagues, à mesure que les projets sont finalisés, consultés puis adoptés. Pour une entité qui prépare sa conformité, cela a une conséquence pratique : la veille réglementaire ne s'arrête pas au texte du règlement, elle doit suivre l'avancement et la publication des normes techniques qui en précisent les obligations.

Pour cette raison, il est prudent de se référer directement aux publications officielles des AES et de la Commission pour connaître l'état exact du corpus à un instant donné, plutôt qu'à des récapitulatifs susceptibles d'être dépassés. Le présent article informe et donne des repères, il ne se substitue pas à la consultation des textes en vigueur.

Pourquoi cela compte pour votre conformité

Pour une entité financière, les RTS et ITS ne sont pas un détail technique réservé aux juristes : ce sont eux qui déterminent le niveau d'exigence réellement attendu sur chaque pilier de DORA. Connaître les cinq piliers du règlement donne la carte ; les normes techniques donnent l'échelle. Intégrer ce second niveau dans une trajectoire de mise en conformité DORA structurée, c'est s'assurer que les preuves construites correspondent aux attentes concrètes des autorités, et non à une lecture seulement principielle du texte.

Poursuivre la lecture

Poursuivre la lecture