Si vous fournissez des services de technologies de l’information et de la communication (prestataire de services TIC) tels que l’informatique en nuage (cloud computing) ou des services SaaS à des institutions financières (banques, compagnies d’assurance, etc.) ou à des entités crypto (prestataire de services sur actifs numériques tel que défini par le règlement MiCA – veuillez consulter notre synthèse), il est probable que vous soyez concerné par le Règlement (UE) n°2022/2554 sur la résilience opérationnelle numérique du secteur financier (le « Règlement DORA »), qui s’appliquera dans toute l’Union européenne à partir du 17 janvier 2025.

CHAMP D’APPLICATION DE DORA

Les entités financières couvertes sont directement concernées par le Règlement DORA. Ce règlement vise à renforcer la résilience opérationnelle numérique des entités financières à travers l’UE. Il harmonise les règles relatives à la résilience opérationnelle du secteur financier et s’applique à 20 types d’entités financières (tels que listés à l’article 2 du règlement), parmi lesquelles les établissements de crédit, établissements de paiement, établissements de monnaie électronique, entreprises d’investissement, plateformes de négociation, prestataires de services de financement participatif et prestataires de services sur actifs numériques.

Les prestataires de services TIC relèvent du champ d’application du Règlement DORA lorsqu’ils fournissent des services à des entités financières couvertes. Une nouveauté essentielle apportée par le Règlement DORA est l’introduction d’obligations relatives aux prestataires de services TIC tiers et à leurs sous-traitants, en raison du risque potentiel qu’ils représentent pour les entités financières.

Quelle que soit leur localisation géographique, tous les prestataires de services TIC travaillant avec des entités financières couvertes de l’UE sont concernés par DORA.

CLASSIFICATION DES PRESTATAIRES DE SERVICES TIC

Le Règlement DORA définit trois classifications différentes des prestataires de services TIC selon une approche fondée sur les risques :

Obligations générales applicables à toutes les relations entre un prestataire de services TIC et une entité financière
Le Règlement DORA introduit de nouvelles obligations affectant les relations contractuelles, qui doivent être formalisées par un contrat écrit, incluant :

• Clauses obligatoires relatives aux services fournis, à leur localisation, aux niveaux de service et à la sécurité des données, aux conditions de résiliation, etc.
• Obligations découlant des clauses obligatoires : autoriser les audits menés par l’entité financière, l’assister en cas d’incident lié aux TIC, etc.

Obligations renforcées si le prestataire de services TIC soutient des fonctions critiques ou importantes d’une entité financière
Lorsque le prestataire soutient une fonction dont l’interruption pourrait affecter significativement la performance financière ou la conformité réglementaire de l’entité financière, le contenu des clauses obligatoires est élargi, notamment :

• Normes de sécurité renforcées à respecter
• Obligation de participer aux tests de pénétration fondés sur les menaces menés par l’entité financière
• Droits d’accès, d’inspection et d’audit illimités pour l’entité financière

Régime supplémentaire pour les prestataires de services TIC désignés comme « critiques »
Les autorités européennes de supervision (ABE, ESMA, EIOPA) désigneront les prestataires critiques sur la base de critères qualitatifs et quantitatifs (ex. nombre d’entités financières desservies et valeur totale des actifs des entités concernées) afin d’évaluer leur niveau de risque :

• Les prestataires critiques seront soumis à un cadre de supervision spécifique piloté par les autorités européennes, le superviseur principal assigné pourra leur imposer diverses obligations.
• Les prestataires de services TIC critiques sont directement responsables au titre du Règlement DORA.

CLASSIFICATION DES PRESTATAIRES DE SERVICES TIC

Avec une entrée en application prévue en janvier 2025, les prestataires de services TIC doivent adopter une approche proactive :

• Identifier les clients entités financières et les services associés : les prestataires doivent vérifier si leur portefeuille client inclut des entités financières couvertes et identifier les services fournis afin de déterminer s’ils soutiennent des fonctions critiques ou importantes. Ils doivent également évaluer le risque d’être désignés comme “critique” selon les critères d’évaluation (voir le règlement délégué ici).
• Vérifier les obligations liées à la qualification TIC et revoir les contrats : les prestataires tiers TIC couverts sont invités à réviser les contrats en cours avec les entités financières couvertes pour y inclure les nouvelles clauses contractuelles obligatoires.

Il est à noter que les activités de supervision des autorités de contrôle devraient commencer dès 2025, notamment avec la désignation des prestataires de services TIC critiques.

🖋️ Jean-Sébastien Mariez, Laure Meysonnet et Inès Lalet