Art. 58 Clause de réexamen | DORA regulation | DORA

This is a review and evaluation article, placing obligations squarely on the Commission to assess how well key elements of the regulation are working in practice.

It sets out multiple review mandates across different timelines, covering areas such as the designation criteria for critical ICT third-party service providers, the voluntary nature of significant cyber threat notifications, the oversight of third-country providers, and whether certain entities — such as those using automated sales systems or payment system operators — should be brought within the regulation's scope.

It also tasks the Commission with reviewing whether statutory auditors and audit firms should face strengthened digital operational resilience requirements.

The article connects directly to several substantive articles of the regulation, notably Articles 19, 31, and 35, by placing those provisions under future scrutiny.

Important points:

The Commission is required to carry out a review and submit a report to the European Parliament and the Council by 17 January 2028, covering designation criteria for critical ICT third-party service providers, voluntary cyber threat notification, third-country oversight effectiveness, and the functioning of the JON.
The Commission is required to submit a separate report by 17 January 2026 on whether statutory auditors and audit firms should be subject to strengthened digital operational resilience requirements, either through inclusion in this regulation or amendments to Directive 2006/43/EC.
The Commission is required to assess the cyber resilience of payment systems and the appropriateness of extending this regulation's scope to payment system operators, with a report due no later than 17 July 2023 as part of the review of Directive (EU) 2015/2366.

1. Au plus tard le 17 janvier 2028, la Commission, après avoir consulté les AES et le CERS, selon le cas, procède à un réexamen et remet au Parlement européen et au Conseil un rapport, accompagné, le cas échéant, d’une proposition législative. Le réexamen porte au moins sur les points suivants:
  1. les critères de désignation des prestataires tiers critiques de services TIC conformément à l’article 31, paragraphe 2;
  2. le caractère volontaire de la notification des cybermenaces importantes, visé à l’article 19;
  3. le régime visé à l’article 31, paragraphe 12, et les pouvoirs du superviseur principal prévus à l’article 35, paragraphe 1, point d) iv), premier tiret, en vue d’évaluer l’efficacité de ces dispositions pour assurer une supervision efficace des prestataires tiers critiques de services TIC établis dans un pays tiers, et la nécessité d’établir une filiale dans l’Union.
    Aux fins du premier alinéa du présent point, le réexamen comprend une analyse du régime visé à l’article 31, paragraphe 12, y compris les conditions d’accès des entités financières de l’Union aux services de pays tiers et la disponibilité de services sur le marché de l’Union, et il tient compte de l’évolution des marchés des services couverts par le présent règlement, de l’expérience pratique des entités financières et des superviseurs financiers en ce qui concerne l’application et, respectivement, la supervision de ce régime, ainsi que de toute évolution pertinente en matière de réglementation et de supervision au niveau international;
  4. l’opportunité d’inclure dans le champ d’application du présent règlement les entités financières visées à l’article 2, paragraphe 3, point e), qui font usage de systèmes de vente automatisés, compte tenu de l’évolution future du marché en ce qui concerne l’utilisation de ces systèmes;
  5. le fonctionnement et l’efficacité du réseau de supervision commun pour ce qui est de soutenir la cohérence de la supervision et l’efficacité de l’échange d’informations au sein du cadre de supervision.
1. Dans le cadre du réexamen de la directive (UE) 2015/2366, la Commission évalue la nécessité de renforcer la cyberrésilience des systèmes de paiement et des activités de traitement de paiements, ainsi que l’opportunité d’étendre le champ d’application du présent règlement aux opérateurs de systèmes de paiement et aux entités participant aux activités de traitement de paiements. À la lumière de cette évaluation, la Commission soumet, dans le cadre du réexamen de la directive (UE) 2015/2366, un rapport au Parlement européen et au Conseil au plus tard le 17 juillet 2023.
2. Sur la base de ce rapport de réexamen, et après avoir consulté les AES, la BCE et le CERS, la Commission peut présenter, le cas échéant et dans le cadre de la proposition législative qu’elle peut adopter en vertu de l’article 108, deuxième alinéa, de la directive (UE) 2015/2366, une proposition visant à faire en sorte que tous les opérateurs de systèmes de paiement et entités participant à des activités de traitement des paiements fassent l’objet d’une surveillance appropriée, tout en tenant compte de la supervision existante par la banque centrale.
1. Au plus tard le 17 janvier 2026, la Commission, après avoir consulté les AES et le comité des organes européens de supervision de l’audit, procède à un réexamen et remet au Parlement européen et au Conseil un rapport, accompagné, le cas échéant, d’une proposition législative sur l’opportunité de renforcer les exigences applicables aux contrôleurs légaux des comptes et aux cabinets d’audit en ce qui concerne la résilience opérationnelle numérique, au moyen de l’inclusion des contrôleurs légaux des comptes et des cabinets d’audit dans le champ d’application du présent règlement ou au moyen de modifications de la directive 2006/43/CE du Parlement européen et du Conseil(³⁹).