D'ici 2026, de nombreuses entreprises réglementées des Émirats arabes unis devront faire face à deux réalités réglementaires en même temps. D'un côté, il y a les régimes mondiaux de cyberrésilience et de résilience opérationnelle en expansion, tels que NIS2 et DORA de l'UE. De l'autre, des attentes de plus en plus affirmées en matière d'application locale de la part des régulateurs des EAU, notamment la DFSA, la FSRA et les autorités fédérales.
Le défi n'est pas de choisir entre les deux. Il s'agit de gérer les points d'affrontement.
Les règles mondiales rehaussent le niveau, mais ne remplacent pas la surveillance locale
Les cadres internationaux tels que NIS2 et DORA introduisent des exigences normatives concernant les délais de déclaration des incidents, la surveillance par des tiers, les tests de résilience et la responsabilité des dirigeants. Pour les entreprises ayant des parents, des clients ou des activités en Europe, ces obligations s'appliquent quel que soit l'endroit où les systèmes sont hébergés.
Toutefois, les autorités de régulation des Émirats arabes unis ne s'en remettent pas aux règles mondiales. La DFSA et la FSRA attendent des entreprises qu'elles respectent intégralement les normes de surveillance locales, même lorsqu'il existe déjà des politiques mondiales. En pratique, cela signifie que les cadres mondiaux suscitent des attentes, mais que c'est l 'application locale qui définit l'acceptabilité.
Les entreprises qui s'appuient uniquement sur des politiques au niveau du groupe découvrent souvent des lacunes lors des audits, en particulier lorsque les modèles opérationnels régionaux, les accords d'externalisation ou les flux de données diffèrent des hypothèses européennes.
Là où les collisions se produisent le plus souvent
Plusieurs points de pression apparaissent de manière récurrente.
La notification des incidents en est un. Les règles mondiales imposent des délais stricts et des exigences détaillées en matière de divulgation. Les régulateurs des Émirats arabes unis mettent l'accent sur la clarté, la précision et la gouvernance de l'escalade. Les entreprises sont confrontées à des difficultés lorsque les lignes hiérarchiques ne sont pas claires ou lorsque les équipes régionales n'ont pas l'autorité nécessaire pour agir rapidement.
Les risques liés à l'externalisation et aux tiers constituent un autre problème. Les cadres mondiaux exigent une surveillance rigoureuse, mais les régulateurs des Émirats arabes unis attendent souvent des preuves plus granulaires du contrôle local, en particulier lorsque les prestataires de services opèrent en dehors de la région.
La résilience opérationnelle crée d'autres tensions. Les programmes mondiaux peuvent définir des tolérances d'impact au niveau du groupe. Les régulateurs locaux s'attendent à ce que ces tolérances reflètent les réalités des opérations, des clients et des dépendances du marché des Émirats arabes unis.
L'application devient plus pratique
L'une des évolutions notables aux Émirats arabes unis est le passage d'un débat fondé sur des principes à une application fondée sur des preuves. Les régulateurs vérifient de plus en plus si les entreprises peuvent démontrer l'alignement entre la politique, la pratique et la prise de décision.
Les organisations sont ainsi poussées à
- traduire les exigences mondiales en procédures opérationnelles locales
- clarifier la responsabilité entre la direction du groupe et la direction régionale,
- et veiller à ce que les équipes locales puissent prouver leur conformité sans s'appuyer sur l'interprétation du siège.
Ce sur quoi les entreprises devraient se concentrer en 2026
Dans cet environnement, la réussite dépend moins de l'adoption de nouveaux cadres que de l'intégration.
Les entreprises doivent être en mesure d'expliquer comment les obligations mondiales en matière de cybersécurité et de résilience se reflètent dans la gouvernance locale, comment les incidents sont gérés dans la pratique et qui détient le pouvoir de décision dans les Émirats arabes unis.
Les régulateurs ne sont pas opposés à une cohérence mondiale. Ils s'attendent à ce qu'elle fonctionne au niveau local.
En 2026, les entreprises les plus performantes seront celles qui considèrent les règles mondiales comme une base de référence et l'application aux Émirats arabes unis comme le test décisif.
