DORA : Le registre d'information sur les prestataires de TIC, une nouvelle obligation réglementaire majeure

Contexte et enjeux du registre d'information DORA

Le règlement DORA (Digital Operational Resilience Act) introduit une nouvelle obligation majeure pour les entités financières : la tenue et la transmission d'un registre détaillé sur leurs prestataires de services TIC (Technologies de l'Information et de la Communication). Cette exigence s'inscrit dans la volonté des régulateurs européens de renforcer la résilience opérationnelle numérique du secteur financier.

Ce registre constitue un élément central du dispositif DORA, permettant aux autorités de supervision d'avoir une vision claire des interdépendances technologiques et d'évaluer les risques systémiques potentiels. Pour les entités assujetties, il représente également un outil de pilotage stratégique de leurs relations avec les prestataires critiques.

Contenu et modalités pratiques du registre

Le registre doit contenir des informations détaillées sur :

- L'identification précise des prestataires TIC

- La nature des services fournis

- La classification des prestataires (critiques/non-critiques)

- Les évaluations de risques effectuées

- Les incidents majeurs survenus

- Les plans de continuité et de sortie

La transmission à l'AMF est obligatoire selon un calendrier précis, avec une première échéance importante au premier semestre 2025. Le format et les modalités techniques de transmission seront précisés dans les normes techniques réglementaires.

Implications pour les fonctions Compliance et Risques

Cette nouvelle obligation impacte significativement les équipes compliance et risques qui doivent :

- Mettre en place une gouvernance dédiée

- Développer des processus de collecte et de mise à jour des informations

- Assurer la qualité et la cohérence des données

- Coordonner les différentes parties prenantes (IT, Achats, Métiers)

- Préparer le reporting réglementaire

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Cartographier l'ensemble des prestataires TIC et classifier leur criticité

• Mettre en place un processus de collecte et de validation des informations impliquant toutes les parties prenantes

• Développer des outils de suivi et de reporting adaptés aux exigences DORA

• Former les équipes aux nouvelles obligations et processus

• Prévoir des contrôles de second niveau sur la qualité des données du registre