Réponse GRC
Qu’est-ce que le registre des tiers TIC au sens de DORA ?
Réponse directe
Le registre d’informations DORA est le registre, exigé par l’article 28 du Règlement (UE) 2022/2554, de l’ensemble de vos arrangements contractuels pour l’utilisation de services TIC fournis par des tiers. Chaque entité financière doit le tenir à jour, le maintenir au niveau de l’entité et, le cas échéant, au niveau sous-consolidé et consolidé du groupe, et le mettre à disposition de son autorité de surveillance compétente — en France, l’AMF ou l’ACPR selon le type d’entité — sur demande. Il constitue l’ossature du régime de risque tiers de DORA : les superviseurs l’utilisent pour voir, à l’échelle du secteur financier, de quels prestataires le système dépend. Le registre n’est pas un inventaire ponctuel. C’est un enregistrement vivant qui doit refléter votre chaîne d’approvisionnement TIC telle qu’elle est réellement, y compris quels arrangements soutiennent des fonctions critiques ou importantes, car ceux-ci entraînent des exigences contractuelles et de supervision plus strictes. Le registre documente chaque arrangement contractuel TIC : le prestataire, le service, s’il soutient une fonction critique ou importante, et les clauses contractuelles exigées par DORA. Les autorités européennes de supervision fixent le modèle détaillé et les champs par des normes techniques. Un registre tenu dans un tableur, séparé des relations fournisseurs qu’il décrit, est exact le jour de sa création et erroné la semaine où un contrat change sans mise à jour — c’est précisément l’échec que vise l’exigence DORA de tenir le registre à jour.
Questions connexes