Se préparer à la conformité DORA : déclaration des contrats avec les tiers prestataires de services ICT à la DNB avant le 23 avril 2025
By Jean-Hugues Migeon
April 14, 2025
Depuis le 17 janvier 2025, le règlement DORA (Digital Operational Resilience Act) impose aux établissements financiers de tenir un registre exhaustif de tous leurs contrats avec des prestataires tiers de services ICT. Cette obligation, définie à l’article 28(3) de DORA, vise à renforcer la transparence et le contrôle sur la dépendance du secteur financier aux services ICT externes.
Date limite de déclaration : 23 avril 2025
Les institutions financières placées sous la supervision de De Nederlandsche Bank (DNB) doivent transmettre leur registre d’informations avant le 23 avril 2025. La demande de déclaration est accessible depuis le 1ᵉʳ avril 2025 via le portail MyDNB, dans la section Reporting Service. Les données doivent être fournies sous forme de fichier xBRL-CSV (format tabulaire). Pour les institutions ne pouvant pas encore utiliser le standard xBRL-CSV, une solution alternative est proposée cette année : un modèle Excel standardisé. La DNB convertira automatiquement ce fichier au format xBRL-CSV après dépôt. Cependant, la responsabilité de l’exactitude et de l’exhaustivité des informations déclarées incombe toujours aux institutions financières.
Objectifs du registre
Ce registre remplit plusieurs fonctions clés :
- Gestion interne des risques : Permet aux institutions de surveiller et maîtriser les risques liés aux prestataires ICT tiers.
- Contrôle réglementaire : Fournit aux autorités compétentes les informations nécessaires pour superviser la gestion des risques ICT externes.
- Désignation des prestataires critiques : Aide les autorités européennes de supervision (ESA) à identifier et désigner les prestataires ICT tiers critiques, qui seront alors soumis à leur surveillance.
Informations à déclarer
Les institutions doivent inclure dans leur registre :
- Détails contractuels : Informations sur tous les accords avec des prestataires ICT tiers, en distinguant ceux qui soutiennent des fonctions critiques ou importantes de ceux qui ne le font pas.
- Catégories de services : Description des types de services et fonctions ICT externalisés.
- Informations sur les prestataires : Données concernant les prestataires (y compris leur identifiant d’entité juridique – LEI).
- Clauses contractuelles : Conditions des accords, notamment les clauses de résiliation et la législation applicable.
Prochaines étapes pour les institutions financières
Pour se conformer à DORA, les établissements doivent :
- Revoir les contrats existants : Vérifier que tous les accords ICT tiers sont correctement répertoriés.
- Utiliser les modèles mis à disposition : Télécharger et compléter le modèle Excel standardisé de la DNB, si nécessaire.
- Respecter la date limite : Transmettre le registre avant le 23 avril 2025.
- Maintenir le registre à jour : Mettre régulièrement à jour les informations pour refléter les nouveaux contrats ou résiliations, assurant une conformité continue.
En suivant ces étapes, les institutions financières pourront gérer efficacement leurs risques ICT tiers et respecter les exigences de DORA.
Optimisez votre déclaration avec Anove AI
Vous souhaitez simplifier et automatiser votre processus de déclaration DORA ? Découvrez Anove AI, une plateforme innovante conçue pour faciliter la gestion des contrats ICT tiers. Avec Anove AI, vous pouvez : ✅Compiler, valider et soumettre votre registre en toute simplicité, ✅Garantir la conformité aux exigences strictes de DORA.
Essayez gratuitement Anove AI dès aujourd’hui et découvrez l’avenir de la déclaration réglementaire ! Commencez votre essai gratuit