DORA et CSRD : les nouvelles obligations européennes à ne pas négliger

Qu’est ce que DORA ?

Le règlement européen sur la résilience opérationnelle numérique, plus connu sous le nom de DORA (Digital Operational Resilience Act), entre en application le 17 janvier. Il marque une étape majeure dans la sécurisation du secteur financier face aux menaces numériques. À l’ère où les cyberattaques et les perturbations des systèmes informatiques sont en constante augmentation, DORA vise à garantir que les institutions financières soient prêtes à faire face aux risques technologiques tout en maintenant la confiance des consommateurs.

Les objectifs de DORA, la résilience et la sécurité dans un monde numérique, reposent sur deux principes fondamentaux : la gestion proactive des risques liés aux technologies de l’information et de la communication (TIC) et la continuité des activités critiques. Avec cette approche, DORA veut transformer la gestion des risques numériques en une priorité stratégique pour toutes les institutions financières.

Parmi les obligations induites par DORA on trouve : la gestion du risque lié aux technologies de l’information et de la communication (« TIC »), la gestion, la classification et la notification des incidents liés aux TIC, la mise en œuvre de tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC, et la mise en place d’un cadre de supervision des prestataires tiers critiques de services TIC.

Le non-respect de DORA peut entraîner des sanctions financières sévères, des restrictions d’activités, voire des dommages réputationnels. Les autorités compétentes, comme l’ACPR, disposent de pouvoirs renforcés pour imposer des amendes et exiger des corrections immédiates. Cela souligne l’urgence pour les entreprises de se préparer dès maintenant. 

Où en sont les textes ?

La mise en œuvre de ces obligations requiert néanmoins que la réglementation elle-même soit pleinement opérationnelle pour l’entrée en application du texte. Cela implique notamment l’adoption des textes dits de niveau 2, ainsi que la désignation des prestataires tiers de services TIC considérés comme critiques pour les entités financières.

Dans ce contexte, à l’approche de l’entrée en vigueur de DORA, les autorités de supervision européennes et nationales ont intensifié leurs publications, leurs travaux préparatoires et leurs communications. Plusieurs documents clés ont ainsi été publiés en 2024 afin d’accompagner les institutions financières dans leur mise en conformité.

L’ACPR, le 18 décembre 2024, a publié une notice détaillant les modalités pratiques d’application du règlement. Celle-ci apporte des précisions importantes sur la gouvernance des risques liés aux TIC, les obligations de notification d’incidents et les exigences applicables aux prestataires tiers.

Les autorités européennes de surveillance ont quant à elles adopté, à différentes dates (17 janvier, 17 juillet, 8 novembre et 4 décembre 2024), plusieurs normes techniques de réglementation (RTS) et d’exécution (ITS). Ces textes précisent notamment les modalités de déclaration des incidents liés aux TIC, la tenue des registres contractuels, et encadrent les consultations en cours sur les tests de résilience avancée (TLPT).

La Commission européenne a également publié un règlement délégué, le 13 mars 2024 (UE 2024/1774), précisant les outils, méthodes, processus et politiques de gestion des risques TIC, ainsi que le cadre simplifié applicable dans certaines situations.

D’autres textes complémentaires restent cependant attendus d’ici juillet 2025. Ils concerneront, entre autres, les critères de classification des incidents TIC majeurs, les spécifications sur les risques de concentration liés aux prestataires tiers, les modalités de notification des incidents (contenu, délais, fréquence), ainsi que les éléments à prendre en compte lors de la sous-traitance de fonctions critiques appuyées par des services TIC.

L’ensemble de ces documents est essentiel à la mise en œuvre complète du cadre DORA.

Trois échéances majeures sont à retenir pour les acteurs concernés. Le 17 janvier 2025 marque l’entrée en application officielle du règlement, date à laquelle toutes les entités financières devront être pleinement conformes à ses exigences principales. Au début de l’année 2025, les premiers rapports d’incidents TIC majeurs devront être transmis par les établissements. Enfin, d’ici la fin 2025, les autorités compétentes procéderont à la désignation formelle des prestataires TIC tiers critiques (CTPP), scellant ainsi l’un des piliers du nouveau cadre de supervision.

Les enjeux de la mise en oeuvre opérationelle :

Ces échéances nécessitent une préparation en amont pour éviter des sanctions ou des perturbations opérationnelles (démarche détaillée dans le guide mise en conformité DORA de Babylone Consulting).

Les petites entités bénéficient d’un cadre simplifié, mais doivent tout de même se conformer aux exigences de base, telles que la protection des données critiques. Compte tenu de l’ampleur et de la complexité de mise en œuvre du règlement délégué, des marges de manœuvre sont possibles.

Ainsi, la Commission européenne et les autorités de supervision, comme l’ACPR en France, reconnaissant les défis posés par l’application immédiate de DORA, accordent une certaine flexibilité aux entités:

-Les petites entreprises peuvent adopter des cadres simplifiés.

-Les autorités sont invitées à tenir compte de la complexité et de la taille des organisations dans leur supervision.

-Un temps est accordé en 2025 pour finaliser les éléments encore en cours de développement, comme les tests avancés ou les stratégies de gestion des tiers. Dans ce contexte réglementaire complexe et encore un peu mouvant, il est essentiel d’appréhender correctement les enjeux de DORA, ses implications à court et moyen terme et de concentrer les efforts là où cela est nécessaire en s‘appuyant sur les compétences pertinentes.

Dans ce contexte réglementaire complexe et encore un peu mouvant, il est essentiel d’appréhender correctement les enjeux de DORA, ses implications à court et moyen terme et de concentrer les efforts là où cela est nécessaire en s’appuyant sur les compétences pertinentes.

Qu’est-ce que la CSRD ?

Après avoir dû repenser en profondeur leur gouvernance numérique avec DORA, les entreprises doivent désormais relever un autre défi de taille : celui de la durabilité. Et cette fois-ci, ce sont les données ESG qui passent sous le microscope réglementaire. Avec la CSRD, l’Union européenne étend son exigence de transparence à un nouveau champ stratégique : celui de l’impact environnemental, social et de gouvernance. Le mot d’ordre reste le même : structurer, tracer, auditer. Mais les enjeux changent de terrain — et appellent une mobilisation tout aussi forte.

La directive européenne sur le reporting de durabilité des entreprises, plus connue sous le nom de CSRD (Corporate Sustainability Reporting Directive), est entrée en vigueur le 1er janvier 2024. Elle marque un tournant décisif dans la manière dont les entreprises doivent rendre compte de leurs impacts environnementaux, sociaux et de gouvernance (ESG). En renforçant le cadre existant de la NFRD (Non-Financial Reporting Directive), la CSRD vise à uniformiser, élargir et fiabiliser les informations extra-financières publiées par les entreprises européennes.

À l’heure où la durabilité devient un critère stratégique et financier incontournable, la CSRD impose un véritable changement de paradigme : ne plus seulement communiquer sur ses engagements, mais prouver la réalité de ses actions, en se soumettant à un cadre réglementaire précis, vérifiable et audité.

Quels sont les objectifs de la CSRD ?

La CSRD repose sur une ambition forte : rendre les entreprises réellement responsables de leurs impacts ESG, tout en fournissant aux parties prenantes dont les investisseurs, clients, régulateurs des données fiables et comparables.

Trois grands principes structurent cette directive : l’élargissement du périmètre d’application à plus de 50 000 entreprises, la double matérialité qui impose une analyse croisée des impacts et des risques et l’harmonisation des données, grâce aux normes ESRS (European Sustainability Reporting Standards) adoptées en juillet 2023. Ces normes définissent de façon précise les indicateurs, formats et contenus attendus dans le reporting de durabilité, afin d’assurer une lecture homogène des performances ESG à l’échelle européenne.

Quelles sont les obligations principales imposées par la CSRD ?

La directive impose un haut niveau d’exigence en matière de transparence, de traçabilité et de rigueur méthodologique. Concrètement, les entreprises devront produire un rapport de durabilité intégré à leur rapport de gestion annuel, au format électronique ESEF (European Single Electronic Format). Elles devront respecter les normes ESRS applicables, procéder à une analyse de double matérialité, mettre en place des indicateurs quantitatifs et qualitatifs standardisés, et se faire auditer par un tiers indépendant dès 2024 (audit de garantie limitée).

À qui s’applique la CSRD, et selon quel calendrier ?

La mise en œuvre de la CSRD est progressive : dès 2024 pour les grandes entreprises déjà soumises à la NFRD, en 2025 pour les grandes entreprises non couvertes auparavant, en 2026 pour les PME cotées (hors micro-entreprises), et en 2028 pour les filiales européennes d’entreprises non-européennes réalisant plus de 150 millions d’euros de chiffre d’affaires dans l’Union.

Quels sont les enjeux concrets pour les entreprises ?

La CSRD va bien au-delà d’un simple exercice de reporting. Elle exige une transformation en profondeur de la gouvernance des entreprises : révision des outils de pilotage, intégration des risques ESG dans la stratégie globale, mobilisation des fonctions financières, juridiques, RSE, IT et opérationnelles. Les sanctions en cas de non-conformité peuvent être financières, mais aussi réputationnelles, en compromettant l’accès aux financements ou la confiance des clients. Pourtant, c’est aussi une opportunité stratégique pour structurer ses engagements et se différencier durablement.

Où en est-on concrètement en 2025 ?

Depuis l’adoption officielle des 12 premières normes ESRS en juillet 2023, le cadre de reporting de durabilité européen s’est précisé. En 2025, les grandes entreprises non cotées entrent à leur tour dans le champ d’application de la directive, tandis que les premières déclarations conformes à la CSRD commencent à être publiées pour l’exercice 2024. Les normes en vigueur couvrent l’ensemble des piliers ESG : environnement (changement climatique, pollution, biodiversité, ressources naturelles), social (travailleurs, communautés impactées, consommateurs) et gouvernance (conduite des affaires, gestion des risques, supervision). D’autres textes sont encore attendus pour affiner certains points techniques, notamment ceux liés à la chaîne de valeur et à la matérialité sectorielle. En parallèle, les entreprises accélèrent leur mise en conformité : collecte de données ESG, formation des équipes, structuration des processus de contrôle interne, mise en œuvre des systèmes de reporting… L’année 2025 s’annonce comme un tournant opérationnel, où la transition passe de la planification à l’exécution.

Quels défis pour la mise en conformité ?

La mise en œuvre opérationnelle de la CSRD soulève de nombreux défis : collecte et fiabilisation des données, interprétation et application des normes ESRS, implication du top management, auditabilité des données. Le niveau de maturité des organisations est encore très hétérogène, et beaucoup doivent monter en compétence rapidement. Le calendrier serré et l’ampleur de la tâche rendent cette transition d’autant plus délicate.

Une mise en conformité stratégique

À l’image de DORA dans le domaine numérique, la CSRD impose une transformation structurelle à fort enjeu pour les entreprises. Derrière la contrainte réglementaire, c’est bien d’un changement stratégique qu’il s’agit. Il est donc essentiel d’anticiper, de s’entourer des bons partenaires et de concentrer ses efforts là où cela aura un impact réel, tant en matière de conformité que de création de valeur durable.