Gestion des prestataires TIC critiques DORA

02L'essentiel

Ce qu'il faut retenir

Les entités financières doivent tenir un registre d'information à jour de leurs accords contractuels avec les prestataires TIC, communiqué à l'autorité compétente au moins une fois par an. S'y ajoutent des clauses contractuelles obligatoires et une évaluation de la criticité de chaque prestataire.

03En détail

Ce que le règlement implique ici

DORA traite le risque lié aux prestataires tiers de services TIC comme une composante à part entière du risque TIC, et non comme un sujet annexe. L'externalisation ne dilue pas la responsabilité de l'entité financière : elle l'oblige à maîtriser et à documenter cette dépendance.

L'obligation la plus concrète est le registre d'information (RoI) : un inventaire à jour des accords contractuels conclus avec les prestataires de services TIC, communiqué à l'autorité compétente au moins une fois par an. C'est souvent le premier livrable que les entités structurent.

S'y ajoutent des clauses contractuelles obligatoires dans les contrats avec les prestataires TIC et une évaluation de la criticité de chaque prestataire. Les prestataires eux-mêmes ont intérêt à anticiper ces exigences, car elles se répercutent dans les contrats de leurs clients financiers.

04Aller plus loin

Cadrer votre conformité

Pour mesurer votre écart au règlement (UE) 2022/2554 et obtenir une trajectoire priorisée pilier par pilier, un audit DORA pose le point de départ documenté de votre démarche.