Aristotelis Zervos
Aristotelis Zervos, directeur de la rédaction de 2B Advice, allie expertise juridique et journalistique en Protection des données, la conformité informatique et la réglementation de l'IA.
Le site Loi sur la résilience opérationnelle numérique (DORA) oblige, depuis le 17 janvier 2025, les institutions financières à rendre leurs systèmes informatiques, leurs processus et leurs architectures de sécurité résistants aux cyberincidents ou aux perturbations opérationnelles. Parallèlement, DORA renforce les exigences en matière de traçabilité : la mise en œuvre doit être documentée de manière exhaustive et présentée de manière transparente dans le cadre d'audits. Il apparaît ainsi clairement que non seulement la résilience technique, mais aussi la Documentation constitue un élément central de la nouvelle réglementation. La BaFin a toutefois annoncé des allègements pour le premier contrôle.
DORA, une nouvelle réalité pour les examens
Pour les audits, cela signifie un élargissement de l'objet de l'audit : outre les prescriptions actuelles des BAIT (exigences prudentielles en matière de technologies de l'information), ZAIT (exigences prudentielles en matière de services de paiement) et KAIT (exigences prudentielles en matière de technologies de l'information pour les sociétés de gestion de capitaux), les exigences DORA font leur apparition comme nouvelle dimension de l'audit.
Ces circulaires nationales contiennent chacune des exigences minimales détaillées en matière de gouvernance informatique, de gestion de la sécurité, de concepts d'urgence et de gestion de l'externalisation. Les premiers cycles de contrôle sous DORA revêtent justement une grande importance, car ils permettent pour la première fois à l'autorité de surveillance et à l'entreprise de faire un point indépendant sur l'état de la mise en œuvre.
Dans ce contexte, la BaFin a expliqué, dans une lettre du 11 août 2025 adressée à l'Institut der Wirtschaftsprüfer (IDW), deux allègements importants pour la pratique concernant le premier contrôle des entreprises financières soumises à une surveillance directe.
Exception à l'obligation de rapport pour les défauts entièrement corrigés
Dans la pratique, on peut s'attendre à ce qu'un grand nombre de constatations soient faites au cours de la première année d'utilisation de DORA. Toutefois, un grand nombre de ces défauts sont déjà corrigés au cours de la même période de contrôle. Notamment parce que certaines parties des normes techniques nécessaires (RTS/ITS) n'ont été publiées que très tardivement. Par exemple, en ce qui concerne le système de notification, le registre des informations ou la sous-traitance.
Selon les normes d'audit applicables, de tels défauts corrigés devraient en principe également être mentionnés dans le rapport d'audit. Toutefois, cela pourrait entraîner une Surcharge et manque de clarté mener.
La BaFin autorise donc, pour la période de transition :
- SimplificationLes défauts déjà entièrement éliminés ne doivent pas apparaître en détail dans le rapport d'audit.
- Obligation d'informationToutefois, l'examinateur doit indiquer brièvementLes rapports de suivi sont des documents qui indiquent que des déficiences ont été constatées et corrigées au cours de la période de référence. Cela permet aux destinataires du rapport de demander des précisions.
- DocumentationLes constatations restent dans les documents de travail internes de l'auditeur et sont donc toujours compréhensibles.
- Clarification: L'allègement concerne uniquement les Rapportsmais pas les Réalisation de l'examen.
A partir des années suivantes, l'obligation d'établir un rapport complet sur toutes les constatations s'applique à nouveau.
Objet de l'audit en cas d'exercice divergent 2024/2025
Pour les entreprises financières dont l'exercice comptable diffère de l'année civile (par exemple de juillet 2024 à juin 2025), la question se pose de savoir quelles exigences doivent être vérifiées à partir du 17 janvier 2025. Ce problème concerne en particulier les établissements dont l'exercice comptable se situe encore à la fois dans la période précédant l'entrée en vigueur de DORA et dans les premiers mois qui suivent.
La BaFin précise
- Un contrôle DORA complet au cours de cette période intermédiaire est exclu, car la loi sur la numérisation des marchés financiers (FinmadiG) prévoit des dispositions transitoires.
- Néanmoins, l'obligation d'auditer les TI demeure en tant que partie intégrante de l'audit de l'adéquation et de l'efficacité de la gestion des risques et de l'organisation de l'entreprise.
- Durant cette période, l'audit doit s'orienter sur les BAIT, ZAIT et KAIT, dans la mesure où leurs exigences sont également contenues dans DORA.
- Les exigences DORA qui vont au-delà des circulaires nationales actuelles ne font pas l'objet d'un examen.
Un cadre de transition clair est ainsi mis en place : D'une part, il est garanti que les aspects centraux de la gouvernance et de la résilience informatiques continueront à être examinés. D'autre part, les entreprises ne seront pas confrontées à une transition complète en milieu d'exercice. Cette solution permet d'éviter les audits en double et de clarifier pour les auditeurs et les entreprises la manière dont les sujets d'audit doivent être délimités pendant l'année de transition. En outre, elle favorise la poursuite continue de la pratique d'audit sans entraîner de charges supplémentaires excessives.
Conseil de lecture : La BaFin publie des orientations sur les exigences en matière de documentation
Examen DORA 2025 : évaluation et perspectives
Pour les établissements soumis à la surveillance, les allégements représentent un allègement sensible au cours de la première année d'audit. En particulier, la possibilité de ne plus devoir rapporter en détail les manquements entièrement corrigés réduit considérablement la charge de travail liée aux travaux ultérieurs et à la communication de suivi. Parallèlement, la délimitation claire pour les exercices divergents permet une meilleure planification : les entreprises savent qu'elles ne seront pas immédiatement soumises à un audit complet selon DORA pendant la période de transition, mais qu'elles continueront à être contrôlées dans le cadre connu (BAIT/ZAIT/KAIT).
Pour les auditeurs, la lettre du BaFin apporte une sécurité juridique et des critères de contrôle clairs. Sans cette clarification, les auditeurs auraient risqué d'être contraints d'énumérer de nombreux manquements déjà réglés, ce qui aurait surchargé le rapport et réduit la valeur ajoutée pour le contrôle. Avec la solution retenue, le rapport d'audit se concentre sur les principales faiblesses qui subsistent à la fin de la période. La lisibilité et la pertinence décisionnelle pour les destinataires tels que les conseils de surveillance ou le BaFin lui-même s'en trouvent ainsi accrues.
Avec ces allègements, le BaFin poursuit un objectif clair : alléger la charge des établissements tout en garantissant la qualité de l'audit. Grâce à l'obligation d'indication dans le rapport, la nécessaire Transparence reçoivent. Si un établissement ou l'autorité de surveillance a des questions sur les lacunes corrigées, celles-ci peuvent être clarifiées via les documents de travail ou dans le cadre d'un dialogue avec les auditeurs. L'autorité de contrôle ne perd donc pas d'informations, mais se contente de réduire la charge de reporting formelle.
Les allègements présentés ne s'appliquent qu'à l'audit initial de 2025. À partir de l'exercice 2025/2026, l'audit DORA complet sera obligatoire et toutes les constatations devront à nouveau faire l'objet d'un rapport complet. Cela inclut également les constatations corrigées au cours de la période de rapport. Les entreprises financières devraient donc profiter de la phase de transition pour achever rapidement et complètement leurs projets de mise en œuvre DORA.
En outre, on peut s'attendre à ce que le BaFin tire de précieux enseignements des premiers audits sur les pratiques de mise en œuvre. Celles-ci seront probablement intégrées dans les futures priorités d'audit, les guides ou les circulaires. Il est donc stratégiquement conseillé de ne pas se contenter de mettre en œuvre le minimum pour satisfaire aux règles transitoires, mais d'assurer très tôt un niveau élevé de conformité à DORA.
Focalisation sur les risques essentiels
Avec les deux allègements
- Exception à l'obligation de rapport pour les anomalies corrigées et
- Réglementation transitoire pour les exercices comptables divergents
la BaFin tient compte des défis particuliers de l'audit initial DORA.
Ces mesures assurent un allègement, une sécurité juridique et une lisibilité accrue des rapports d'audit, sans que la qualité de l'audit n'en pâtisse. En même temps, la BaFin envoie un signal : dès la première année, l'accent n'est pas mis sur l'exhaustivité formelle des rapports, mais sur la focalisation de leur contenu sur les risques essentiels.
Pour les établissements, cela ne signifie toutefois pas un blanc-seing, mais plutôt une invitation à mettre en œuvre DORA de manière conséquente afin de satisfaire à l'ensemble des exigences au plus tard à partir de 2026.
Source : Lettre de la BaFin du 11.08.2025 à l'Institut des experts-comptables (IDW)
Notre offre : En tant qu'experts en matière de protection des données, Conformité et la gestion des risques, nous vous soutenons dans la mise en œuvre des exigences DORA. Convenez d'un rendez-vous pour faire connaissance et mettons ensemble votre organisation à l'épreuve du futur.
Aristotelis Zervos est directeur éditorial chez 2B Advice, juriste et journaliste avec un savoir-faire approfondi en matière de protection des données, RGPD, la conformité IT et la gouvernance de l'IA. Il publie régulièrement des articles approfondis sur la réglementation de l'IA, la conformité au RGPD et la gestion des risques. Pour en savoir plus sur lui, consultez son Page du profil de l'auteur.
German 
English 
Italian 
French