| Titre : | DORA: risico's van derden (2026) |
| Auteurs : | Bastiaan Bruyndonckx, Auteur ; Elias Hemelsoet, Auteur |
| Type de document : | Article : texte imprimé |
| Dans : | Bulletin des assurances (29, 2025) |
| Article en page(s) : | P.199-225 |
| Langues: | Néerlandais |
| Sujets : |
IESN Droit du numérique ; Opérations financières |
| Résumé : |
Le Règlement sur la résilience opérationnelle numérique (DORA) impose des exigences uniformes en matière de résilience numérique aux institutions financières de l'UE. Le chapitre V du règlement DORA constitue un pilier essentiel de ce cadre. Il porte spécifiquement sur la gestion des risques liés aux TIC découlant du recours à des prestataires tiers de services TIC, tels que des fournisseurs de services cloud ou de logiciels. Dans un secteur financier de plus en plus numérisé, les institutions sont fortement dépendantes de partenaires technologiques externes, ce qui engendre des risques spécifiques comme des pannes de système, des cyberattaques et des interruptions de service. Le chapitre V oblige les entités financières à mettre en place un cadre solide de gestion des risques liés aux tiers. Cela implique notamment l'élaboration d'une stratégie pour le recours à des prestataires tiers de services TIC, des analyses de risques préalables à toute sous-traitance, la fixation de garanties contractuelles (sécurité, droits d'audit et stratégies de sortie) et la tenue d'un registre actualisé de toutes les sous-traitances. Une obligation de notification s'applique aux sous-traitances envisagées de fonctions critiques ou importantes (CIF) et les mesures doivent être proportionnées à la nature, à la taille et au profil de risque de l'institution. Le règlement DORA introduit un nouveau mécanisme de surveillance dans le cadre duquel les prestataires tiers de services TIC critiques (CTPP) seront soumis à la surveillance directe des autorités de surveillance européennes. La désignation en tant que CTPP repose sur une évaluation en deux étapes dans le cadre de laquelle tant l'impact systémique que le degré de substituabilité du prestataire de services occupent une place centrale. Ce mécanisme garantit que non seulement les systèmes internes des institutions financières, mais aussi les maillons externes auxquels elles accordent leur confiance, soient sécurisés et solides. Les obligations contractuelles imposées par le règlement DORA sont strictes : les contrats doivent inclure des dispositions claires en matière de services prestés, de sécurité, de protection des données, de droits d'audit et de modalités de résiliation. Des exigences supplémentaires s'appliquent pour les services qui soutiennent des CIF : niveaux de service détaillés, plans d'urgence et droits d'audit et d'inspection étendus. La sous-traitance via des sous-traitants (subcontracting) et la sous-traitance intragroupe relèvent également du régime DORA. Les règlements délégués (notamment les RTS 2025/532) précisent les exigences techniques en matière d'évaluation des risques, de diligence requise, de suivi et de gestion des contrats. La gestion des risques de sous-traitance requiert une approche holistique dans laquelle l'ensemble de la chaîne de prestataires de services et de sous-traitants est cartographié et contrôlé. En bref, le chapitre V du règlement DORA fixe des exigences élevées pour la gestion des risques liés aux tiers dans le secteur financier. Il impose aux institutions financières une approche proactive, stratégique et ancrée dans la loi de la sous-traitance des TIC afin de garantir la résilience opérationnelle numérique du secteur financier européen dans un contexte de croissance de la dépendance technologique et des cybermenaces. (Source éditeur) |
| Note de contenu : |
Etablissements de paiement et de crédit, généralités Opérations financières, généralitésInformatique, protection des données |
Exemplaires (1)
| Localisation | Section | Support | Cote de rangement | Statut | Disponibilité |
|---|---|---|---|---|---|
| Bibliothèque IESN | _Périodiques | Périodique | 34 BA 29 | Non empruntable | Exclu du prêt |
