Des obligations qui s'appliquent dès maintenant
Dès aujourd’hui, l’entrée en vigueur de cette nouvelle règlementation se traduit par l’obligation pour les entités supervisées de déclarer aux autorités compétentes leurs incidents majeurs liés aux technologies de l’information et de la communication (TIC). Dans le même temps, elles doivent rapidement être en mesure de remettre à l’ACPR leur registre d’information au plus tard le 15 avril 2025. L’ACPR se chargera ensuite de les faire parvenir aux Autorités européennes de surveillance (European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA), European Securities and Markets Authority (ESMA)) afin d’identifier des prestataires tiers critiques de services TIC (CTPP).
Des cadres de gouvernance et de contrôle interne à l'état de l'art
À moyen terme, l’ACPR veillera à ce que les entités maintiennent le cadre de gouvernance et de contrôle interne en ligne avec les exigences de DORA pour garantir une gestion efficace et prudente du risque lié aux TIC. Il s'agit de l'élément fondamental de leur résilience opérationnelle numérique. Ce cadre comprend la mise en place d'une structure de gouvernance globale avec des rôles et des responsabilités clairs, ainsi que la mise en place de systèmes de contrôle nécessaires pour identifier et atténuer tout risque lié aux TIC, et d'un programme de test de la résilience opérationnelle numérique.
L’ACPR vient de publier deux documents relatifs à l’entrée en vigueur de DORA :
