Conformité des prestataires TIC tiers sous DORA

Le registre d'information à tenir à jour

Les entités financières doivent tenir un registre d'information (Register of Information) à jour de leurs accords contractuels conclus avec les prestataires de services TIC. Ce registre est communiqué à l'autorité compétente au moins une fois par an. Sa constitution suppose de recenser l'ensemble des contrats, d'en qualifier le périmètre et d'en suivre les évolutions.

C'est généralement un jalon prioritaire de la feuille de route DORA, car il révèle les dépendances réelles et conditionne l'évaluation de la criticité.

Criticité et clauses contractuelles obligatoires

DORA impose d'évaluer la criticité des prestataires et de prévoir des clauses contractuelles obligatoires dans les contrats avec les prestataires TIC. Le pilotage consiste à classer les fournisseurs selon leur importance pour les fonctions critiques, puis à aligner les contrats sur les exigences du règlement.

Il faut distinguer le prestataire tiers TIC ordinaire du prestataire tiers critique de services TIC (CTPP), désigné et supervisé directement par les autorités européennes de surveillance dans le cadre d'un dispositif de surveillance dédié.

Piloter la dépendance, pas seulement la documenter

L'enjeu n'est pas de produire une liste figée mais de gouverner les dépendances dans la durée : revues périodiques, mise à jour du registre, suivi des incidents impliquant un prestataire et préparation des points avec le superviseur ou les clients financiers. Cette voie de travail s'articule avec l'ensemble du programme de conformité DORA.

Les prestataires TIC eux-mêmes ont intérêt à documenter et structurer leur dispositif pour répondre aux exigences que leurs clients financiers leur transmettent.

Questions fréquentes