Les régulateurs du monde entier se sont employés à élaborer des réglementations en matière de résilience opérationnelle, en particulier pour le secteur des services financiers. Les trois principales réglementations – DORA, APRA, PRA/FCA – comportent plusieurs phases avec des dates d’entrée en vigueur différentes. Voici un récapitulatif des échéances de 2025 pour vous aider à vous préparer dès maintenant afin d’éviter un faux pas involontaire et coûteux en matière de conformité.
La Banque d'Angleterre, l'Autorité de conduite financière (FCA) et l'Autorité de régulation prudentielle (PRA).

Royaume-Uni – La Banque d’Angleterre, l’Autorité de conduite financière (FCA) et l’Autorité de régulation prudentielle (PRA)

Date limite : 31 mars 2025

Les exigences de la Banque d’Angleterre ont fait des vagues en 2021, car il s’agit de la première législation majeure spécifique à la réglementation de la résilience opérationnelle à entrer en vigueur. Le délai initial pour les institutions financières britanniques est entré en vigueur en mars 2022 et exigeait une auto-évaluation du programme actuel de l’institution, y compris les services commerciaux importants, les scénarios plausibles et les tolérances d’impact.

Le prochain délai de mise en conformité est fixé au 31 mars 2025. À cette date, les organismes réglementés sont censés avoir effectué des analyses et des tests pour s’assurer qu’ils restent dans les limites des tolérances d’impact déclarées pour chaque service commercial important. Elles devront également démontrer qu’elles ont réalisé les investissements nécessaires pour soutenir des opérations cohérentes dans le cadre de ces tolérances d’impact.

Que faire maintenant ?

  1. Affinez votre liste de services importants pour les entreprises en tenant compte des commentaires des entreprises et du conseil d’administration jusqu’à ce que vous parveniez à un consensus.
  2. Démontrez que vous comprenez comment les services sont fournis, à partir de quel point un dommage intolérable est atteint – et surtout – si vous pouvez rester dans la tolérance d’impact que vous avez déclarée.
  3. Construisez un dossier à l’aide d’exercices pour valider votre confiance dans les tolérances d’impact fixées et votre capacité à respecter ces tolérances.
  4. Mûrissez votre analyse pour mieux comprendre les points de défaillance uniques et les vulnérabilités qui pourraient rendre difficile le respect des tolérances d’impact que vous avez fixées.

Loi sur la résilience opérationnelle numérique (DORA)

Union européenne – Loi sur la résilience opérationnelle numérique (DORA)

Date limite : 17 janvier 2025.

La loi de l’UE sur la résilience opérationnelle numérique est entrée en vigueur en janvier 2023. La loi vise à garantir la résilience du secteur financier en cas de graves perturbations opérationnelles ou d’incidents liés aux technologies de l’information et de la communication. Il couvre cinq domaines essentiels : la gouvernance, l’atténuation des risques pour les tiers, la notification des incidents, les tests de résilience et le partage d’informations. Les lignes directrices favorisent une perspective stratégique plus large pour les organisations afin de normaliser et de faire évoluer les pratiques existantes.

Bien que le DORA soit axé sur la résilience numérique et cybernétique, il existe de nombreux points d’intégration avec d’autres disciplines liées au risque, telles que la gestion de crise, le risque opérationnel, la continuité des activités et la résilience opérationnelle.

La date limite de mise en conformité avec la loi DORA est fixée au 17 janvier 2025. Vous devez satisfaire à des exigences dans six domaines de haut niveau, à savoir

  • Gestion des risques liés aux technologies de l’information et de la communication (TIC)
  • Signalement des incidents majeurs liés aux TIC et notification volontaire aux autorités des cybermenaces importantes
  • Signalement aux autorités des incidents majeurs liés aux opérations ou aux paiements de sécurité par les entités financières
  • Essais de résilience opérationnelle numérique
  • Partage d’informations et de renseignements sur les cybermenaces et les vulnérabilités
  • Mesures pour une gestion saine du risque TIC pour les tiers par les entités financières

Que faire maintenant ?

  1. Évaluez les éléments du DORA qui existent déjà dans votre organisation, travaillez activement à l’évaluation des lacunes éventuelles et disposez d’un plan d’action pour ajouter ou modifier les contrôles.
  2. Développez une solide compréhension de vos programmes de continuité des activités, de sécurité de l’information, de reprise après sinistre, de gestion et de communication de crise, de rapports réglementaires et de gestion des risques de tiers, ainsi que des contrôles qui y sont associés. Ces informations vous aideront également à créer un programme de résilience holistique.

APRA CPS 230

Australie – APRA CPS 230

Date limite : 1er juillet 2025

La norme CPS 230 de l’autorité de régulation prudentielle australienne vise à renforcer la gestion du risque opérationnel par les organismes de services financiers australiens et les succursales australiennes de banques et d’assureurs étrangers.

L’APRA CPS 230 va cependant plus loin que toute autre réglementation sur la résilience opérationnelle en abordant le risque opérationnel, la continuité des activités et la gestion des risques de tiers. Ceux qui ont des activités en Australie voudront réunir des professionnels de la continuité des activités, du risque et de la conformité lors de l’élaboration d’un plan d’action.

Les banques, les assureurs et les caisses de retraite ont jusqu’au 1er juillet 2025 pour se conformer aux nouvelles normes du système :

  • Gérer les risques opérationnels afin de fixer et de maintenir des normes appropriées
  • Maintien des opérations critiques dans les limites de tolérance en cas de perturbation grave
  • Gestion des risques liés à l’utilisation de prestataires de services
  • Identifier, évaluer et gérer les risques pouvant résulter de l’inadéquation ou de la défaillance des processus ou systèmes internes
  • Prévenir les perturbations des opérations critiques et adapter les processus et les systèmes pour qu’ils fonctionnent dans les limites de tolérance.
  • Ne pas s’appuyer sur des prestataires de services à moins qu’ils ne garantissent qu’ils peuvent continuer à remplir pleinement leurs obligations prudentielles.

Que faire maintenant ?

  • Établir et approuver des processus opérationnels essentiels qui peuvent être affinés au fil du temps. Déterminer les niveaux de tolérance à l’impact pour ces processus afin que les planificateurs de la résilience comprennent les délais nécessaires au rétablissement et le moment où un dommage intolérable serait atteint.
  • Faites le point sur les programmes et pratiques existants en matière de gestion des risques opérationnels, de continuité des activités et de gestion des risques liés aux tiers, afin de déterminer les contrôles déjà en place et ceux qui doivent être mis en œuvre.
  • Élaborer un plan pour répondre à certaines des exigences les plus difficiles, telles que l’identification du risque de concentration.

Si votre organisation est concernée par l’une de ces réglementations, l’année 2025 ne tardera pas à arriver. Si les services financiers ont été la cible de la plupart des réglementations en matière de résilience opérationnelle à ce jour, d’autres secteurs pourraient bientôt être concernés. Quoi qu’il en soit, les principes énoncés dans ces exigences constituent une bonne pratique pour renforcer la résilience opérationnelle de toute organisation.

Pour obtenir des informations complètes sur la législation relative à la résilience opérationnelle, téléchargez notre livre blanc intitulé Résilience opérationnelle : Naviguer dans le paysage réglementaire mondial, et découvrez la solution logicielle de Riskonnect pour la continuité des activités et la résilience.