Consultation EBA sur les risques tiers non-ICT

Consultation de l'EBA sur la gestion des risques tiers non-ICT

Introduction

Le 8 juillet 2025, l'Autorité bancaire européenne (EBA) a lancé une consultation publique sur ses projets de lignes directrices concernant la gestion des risques liés aux tiers pour les services non-ICT. Ces lignes directrices visent à mettre à jour les précédentes directives de l'EBA sur l'externalisation, publiées en 2019, en conformité avec le Digital Operational Resilience Act (DORA).

Contexte et objectifs

Les nouvelles lignes directrices se concentrent sur les arrangements avec des tiers en ce qui concerne les services non-ICT fournis par des prestataires de services tiers et leurs sous-traitants, avec un accent particulier sur la fourniture de fonctions critiques ou importantes. Elles spécifient les étapes à suivre par les entités financières pour le cycle de vie des arrangements avec des tiers, y compris l'évaluation des risques, la diligence raisonnable, la phase contractuelle, la sous-traitance, le suivi, les stratégies de sortie et les processus de résiliation.

Principes de proportionnalité et registre DORA

Les lignes directrices proposent des critères spécifiques pour l'application du principe de proportionnalité, permettant aux institutions financières de documenter les informations de manière cohérente pour les services ICT et non-ICT, y compris la possibilité d'utiliser un registre unique. Cela vise à réduire la charge pour les entités financières et les autorités compétentes.

Transition et mise en œuvre

Pour assurer une transition fluide, les entités financières concernées par ces lignes directrices mises à jour disposent d'une période de transition de deux ans pour revoir et modifier leurs arrangements existants avec des tiers et mettre à jour le registre pour les TPA non-ICT.

Processus de consultation

Les commentaires sur le document de consultation peuvent être envoyés via le bouton 'envoyer vos commentaires' sur la page de consultation de l'EBA. La date limite pour la soumission des commentaires est le 8 octobre 2025. L'EBA tiendra une audition publique virtuelle le 5 septembre de 09:00 à 13:00, heure de Paris. Les parties intéressées sont invitées à s'inscrire avant le 1er septembre.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Évaluer et cartographier les risques liés aux tiers non-ICT.

- Mettre à jour les processus de diligence raisonnable pour inclure les nouvelles exigences.

- Former les équipes sur les nouvelles lignes directrices et le registre DORA.

- Planifier la transition sur deux ans pour la mise à jour des arrangements existants.

- Participer à la consultation pour influencer les lignes directrices finales.