--- title: "Résilience numérique : Bruxelles met l'Espagne en demeure sur la directive DORA" slug: resilience-numerique-bruxelles-met-lespagne-en-demeure-sur-la-directive-dora category: regulatory-updates description: "La Commission européenne adresse un avis motivé à l'Espagne sur la directive DORA. Madrid a deux mois avant un possible renvoi devant la CJUE." keywords: [DORA, directive 2022/2556, résilience opérationnelle numérique, Commission européenne, Espagne, avis motivé, CJUE, supervision bancaire, réglementation financière, cyber-risque] tags: [dora, espagne, commission-europeenne, resilience-numerique, supervision-bancaire, reglementation-financiere, cyber-risque, union-europeenne, cjue, directive-2022-2556] canonical: "https://www.france-epargne.fr/news/resilience-numerique-bruxelles-met-lespagne-en-demeure-sur-la-directive-dora" author: "Emmanuel d'Ibelin" publishedAt: "2026-06-04T12:48:24.062Z" updatedAt: "2026-06-04T12:48:24.076Z" readingTimeMinutes: 4 --- # Résilience numérique : Bruxelles met l'Espagne en demeure sur la directive DORA > La Commission européenne a adressé un avis motivé à l'Espagne pour défaut de transposition de la directive DORA sur la résilience opérationnelle numérique des banques et assureurs. Madrid dispose de deux mois avant un possible renvoi devant la Cour de justice de l'Union européenne. La Commission européenne a franchi une nouvelle étape dans sa procédure d'infraction contre l'**Espagne**. Bruxelles reproche à Madrid de ne pas avoir transposé dans son droit national la directive accompagnant le règlement sur la **résilience opérationnelle numérique** du secteur financier, connu sous l'acronyme anglais DORA. L'avis motivé constitue la deuxième étape formelle d'une procédure qui peut conduire à des sanctions financières. La France et le Portugal ont reçu le même avertissement. Les trois États membres disposent désormais de deux mois pour notifier à la Commission les mesures adoptées afin d'aligner leur législation nationale sur le texte européen. Faute de réponse jugée satisfaisante, l'exécutif communautaire pourra saisir la **Cour de justice de l'Union européenne** (CJUE), troisième et dernière phase de la procédure. ## Un cadre européen entré en application en janvier 2025 Le dispositif DORA repose sur deux textes adoptés fin 2022. Le règlement (UE) 2022/2554 fixe les obligations directement applicables aux entités financières. La directive (UE) 2022/2556 qui l'accompagne modifie plusieurs textes sectoriels existants et devait, elle, être transposée par chaque État membre dans son ordre juridique interne. La date limite de transposition était fixée au **17 janvier 2025**, jour où le règlement est lui-même devenu applicable dans l'ensemble de l'Union. Plus d'un an après cette échéance, plusieurs capitales accusent encore un retard, ce qui a conduit la Commission à durcir le ton. Le règlement impose aux banques, aux compagnies d'assurance et aux entreprises d'investissement un socle commun de règles destiné à renforcer leur capacité à résister aux incidents informatiques. Il couvre la gestion des risques liés aux technologies, la notification des incidents majeurs, les tests de résilience et la surveillance des prestataires informatiques critiques. ## Les faits clés de la procédure - Type d'action : avis motivé, deuxième étape de la procédure d'infraction. - Texte en cause : directive (UE) 2022/2556, volet de transposition du paquet DORA. - Délai accordé : deux mois pour répondre à la Commission. - États concernés : Espagne, France et Portugal. - Sanction possible : renvoi devant la CJUE, assorti d'éventuelles amendes. Pour l'Espagne, cet avis prolonge une séquence engagée plus tôt. Le conseil des ministres espagnol avait approuvé un projet de loi sur la numérisation et la modernisation du secteur financier, censé transposer la directive, mais le processus législatif n'est toujours pas achevé. L'avis motivé sanctionne ce retard plutôt qu'un refus de principe. ## Pourquoi la résilience numérique mobilise Bruxelles La dépendance croissante des établissements financiers aux infrastructures informatiques et aux prestataires externes a placé le risque cyber au cœur des préoccupations des superviseurs. Une panne ou une cyberattaque visant un acteur clé peut se propager rapidement à l'ensemble du système, avec des conséquences pour les déposants et les épargnants. En harmonisant les exigences à l'échelle de l'Union, DORA vise à éviter que des règles nationales disparates ne créent des maillons faibles. Un État membre en retard de transposition fragilise, selon Bruxelles, la cohérence d'ensemble du marché unique des services financiers. > La fragmentation des règles nationales constitue précisément le risque que le législateur européen cherche à supprimer en imposant un calendrier commun de mise en conformité. ## Un dossier espagnol qui ne se limite pas à DORA L'Espagne fait l'objet de plusieurs procédures parallèles dans le domaine bancaire et financier. Madrid figure parmi les États visés pour la transposition incomplète de la sixième directive sur les exigences de fonds propres (CRD VI), dont l'échéance était fixée au 10 janvier 2026 et qui touche aux pouvoirs de supervision, aux sanctions et aux risques environnementaux, sociaux et de gouvernance. Le pays reste par ailleurs le dernier État membre à ne pas avoir transposé la deuxième directive sur le crédit aux consommateurs (CCD2). Le gouvernement espagnol a approuvé début janvier 2026 un premier avant-projet de loi sur le crédit à la consommation, alors que l'échéance de transposition était fixée au 20 novembre 2025. ## Ce qu'il faut surveiller La réponse de Madrid dans le délai de deux mois déterminera la suite. Si le calendrier parlementaire espagnol permet l'adoption rapide des textes manquants, la procédure pourra être close sans saisine de la CJUE. Dans le cas contraire, un renvoi devant la juridiction de Luxembourg exposerait l'Espagne à des astreintes financières. Pour les épargnants français, l'enjeu reste indirect mais réel. Une mise en conformité homogène des grands marchés bancaires européens, dont l'Espagne et la France, conditionne la solidité du cadre prudentiel auquel sont soumis les établissements qui gèrent leur épargne et leurs contrats d'assurance. ## Conclusion L'avis motivé adressé à l'Espagne illustre la volonté de la Commission de faire respecter le calendrier de DORA, pierre angulaire de la cybersécurité financière européenne. Le sort de la procédure dépendra désormais de la capacité de Madrid à finaliser, dans les deux mois, une transposition attendue depuis le 17 janvier 2025.