Ce Règlement comble une lacune importante dans la réglementation européenne du secteur financier. Auparavant, les entités financières géraient les risques principalement en constituant des réserves de capital pour couvrir les pertes potentielles. Toutefois, cela ne permettait pas de se prémunir totalement contre les risques opérationnels spécifiques, notamment dans le domaine des technologies de l’information et de la communication (TIC). Le règlement souligne que les défaillances des TIC et le manque de résilience opérationnelle peuvent menacer la stabilité du système financier, même lorsque les exigences connues en matière de fonds propres sont respectées.
DORA vise à garantir que la résilience opérationnelle des entités financières ne se limite pas à des réserves financières, mais qu’elle s’étende également à la capacité de résister aux défaillances des TIC et de s’en remettre. Ainsi, avec le règlement DORA, les entités financières sont tenues de suivre des lignes directrices strictes pour prévenir et traiter les incidents liés aux TIC. Cela comprend des mesures de prévention, de détection et de contrôle des risques liés aux TIC, ainsi que des mesures de récupération et de réparation des incidents liés aux TIC. Le règlement DORA introduit également des exigences relatives aux tests de résilience opérationnelle et à la gestion des fournisseurs de services TIC externes.
Ce dernier point est un chapitre important du règlement DORA, étant donné que les entités financières font généralement appel à des fournisseurs externes de services TIC. Ils doivent notamment:
- examiner soigneusement les fournisseurs tiers potentiels de services TIC, en déterminant si les services externalisés sont liés à des fonctions critiques ou importantes;
- tenir et mettre à jour un registre d’information concernant tous les accords contractuels relatifs à l’utilisation des services TIC fournis par des prestataires tiers;
- rendre compte annuellement aux autorités compétentes (en Belgique, la BNB et la FSMA) du nombre de nouveaux contrats relatifs à l’utilisation des services TIC, des catégories de fournisseurs tiers de services TIC, du type d’accords contractuels et des services et fonctions TIC fournis;
- garantir que ces contrats peuvent être résiliés dans certaines circonstances, sans perturber leurs activités commerciales.
Le Règlement DORA exige que les contrats avec les fournisseurs tiers soient consignés dans «un document écrit». Le contrat doit contenir un certain nombre de clauses obligatoires:
- une description claire et complète de toutes les fonctions et de tous les services TIC à fournir par le prestataire de services TIC tiers, en précisant si l’externalisation d’un service TIC soutient une fonction critique ou importante;
- les droits des parties de résilier le contrat et les délais de préavis minimums;
- l’obligation du fournisseur tiers de services TIC de fournir une assistance à l’entité financière sans coût supplémentaire, ou à un coût prédéterminé, lorsqu’un incident lié au service TIC fourni à l’entité financière se produit;
- dans le cas de services TIC qui soutiennent une fonction critique ou importante, des dispositions spécifiques doivent être incluses, telles que des obligations de déclaration, des dispositions relatives à la continuité du service et des mesures de sécurité.
Le Règlement DORA prévoit que les parties utilisent des clauses contractuelles types élaborées par des agences gouvernementales pour des services spécifiques. Ces clauses contractuelles types seront publiées ultérieurement.
Notre équipe peut vous aider à aligner vos contrats sur le nouveau règlement applicable à partir du 17 janvier 2025.