Registre d'informations DORA : exigences et préparation
Le RoI est l'une des exigences DORA les plus tangibles avec des délais de soumission spécifiques, rendant sa préparation prioritaire dans les efforts de conformité.
Le Registre d'informations DORA (RoI) est une base de données obligatoire que les entités financières doivent maintenir documentant tous les arrangements contractuels avec les prestataires de services TIC tiers. Ce registre sert plusieurs objectifs : surveillance interne des risques, supervision réglementaire, et données d'entrée pour la désignation des prestataires tiers TIC critiques.
Points clés
| Point | Résumé |
|---|---|
| Registre obligatoire | Toutes les entités financières doivent maintenir un RoI |
| Tous les prestataires TIC | Couvre tous les prestataires de services TIC tiers, pas seulement les critiques |
| Soumission réglementaire | Doit être soumis aux autorités compétentes |
| Niveaux multiples | Requis aux niveaux de l'entité, sous-consolidé et consolidé |
| Format standardisé | Les AES ont spécifié les champs de données et le format |
Réponse rapide : Le Registre d'informations est une base de données structurée de tous les arrangements contractuels avec les prestataires de services TIC tiers que les entités financières doivent maintenir et soumettre aux régulateurs. Il doit inclure l'identification des prestataires, les détails des contrats, les services fournis, la classification de criticité, les localisations des données et les informations de sous-traitance. Le registre permet la surveillance interne des risques, soutient la supervision réglementaire et fournit des données d'entrée pour les décisions de désignation CTPP. Les premières soumissions sont prévues pour 2025/2026.
Objectif du registre
Usage interne
Le RoI sert d'outil interne de gestion des risques :
| Objectif | Bénéfice |
|---|---|
| Visibilité | Vue complète du paysage TIC tiers |
| Évaluation des risques | Données d'entrée pour l'analyse de concentration et de dépendance |
| Due diligence | Support pour les revues de prestataires |
| Planification de sortie | Fondation pour la planification de transition |
| Réponse aux incidents | Identification rapide des prestataires affectés |
Usage de surveillance
Les autorités compétentes utilisent les registres soumis pour :
| Objectif | Activité |
|---|---|
| Supervision | Surveiller les risques TIC tiers dans les entités supervisées |
| Analyse de concentration | Identifier les risques de concentration à l'échelle du secteur |
| Désignation CTPP | Données d'entrée pour identifier les prestataires critiques |
| Planification des examens | Éclairer les priorités de surveillance |
Usage par les AES
Les Autorités européennes de surveillance utilisent les données agrégées pour :
- Identifier les candidats à la désignation comme prestataire tiers TIC critique
- Analyser les risques systémiques liés à la concentration TIC
- Coordonner la surveillance inter-sectorielle
Champs de données requis
Informations sur le prestataire
| Champ | Description |
|---|---|
| Nom du prestataire | Raison sociale du prestataire de services TIC |
| LEI | Identifiant d'entité juridique (si disponible) |
| Localisation du siège | Pays du siège social du prestataire |
| Entreprise mère | Informations sur la société mère |
| Détails d'enregistrement | Numéros d'immatriculation |
| Informations de contact | Coordonnées clés |
Informations contractuelles
| Champ | Description |
|---|---|
| Identifiant du contrat | Référence unique de l'arrangement |
| Date de début du contrat | Quand l'arrangement a commencé |
| Date de fin du contrat | Résiliation prévue (le cas échéant) |
| Valeur du contrat | Coût annuel des services |
| Droit applicable | Juridiction régissant le contrat |
| Dispositions de résiliation | Préavis et droits de résiliation |
Informations sur les services
| Champ | Description |
|---|---|
| Description du service | Nature des services TIC fournis |
| Type de service | Classification de la catégorie de service |
| Fonctions supportées | Fonctions métier dépendant du service |
| Indicateur de fonction critique | Si le service supporte des fonctions critiques/importantes |
| Types de données | Catégories de données traitées |
| Localisations des données | Où les données sont traitées et stockées |
Sous-traitance
| Champ | Description |
|---|---|
| Détails du sous-traitant | Informations sur les sous-traitants matériels |
| Services sous-traités | Services fournis par les sous-traitants |
| Localisations des sous-traitants | Où les sous-traitants traitent les données |
Évaluation des risques
| Champ | Description |
|---|---|
| Évaluation de substituabilité | Facilité de remplacement du prestataire |
| Indicateur de concentration | Contribution au risque de concentration |
| Date de dernière évaluation | Quand le prestataire a été revu pour la dernière fois |
Périmètre de couverture
Quels prestataires inclure
Le registre doit inclure tous les prestataires de services TIC tiers :
| Inclure | Exemples |
|---|---|
| Services cloud | Prestataires IaaS, PaaS, SaaS |
| Éditeurs de logiciels | Core banking, systèmes de trading |
| Services de données | Données de marché, données de référence |
| Infrastructure | Réseau, télécommunications |
| Services de sécurité | Sécurité gérée, services SOC |
| Services de support | Support IT, maintenance |
| Services spécialisés | Traitement des paiements, conservation |
Classification de criticité
Distinguez entre les services supportant :
| Classification | Impact |
|---|---|
| Fonctions critiques ou importantes | Exigences RoI renforcées, scrutin supplémentaire |
| Autres fonctions | Exigences RoI standards |
Les fonctions critiques sont celles dont la perturbation altérerait matériellement :
- La performance financière
- La solidité ou la continuité
- La conformité aux conditions d'autorisation
- Les obligations réglementaires
Structure du registre
Niveau de l'entité
Chaque entité juridique doit maintenir son propre registre couvrant :
- Tous les arrangements TIC directement contractés par cette entité
- Les services consommés par cette entité
Niveau sous-consolidé
Pour les groupes, les registres sous-consolidés agrègent :
- Les registres des entités dans le périmètre de sous-consolidation
- Les relations inter-entités avec les prestataires
Niveau consolidé
L'entreprise mère ultime doit maintenir un registre consolidé :
- Vue complète à l'échelle du groupe
- Toutes les relations TIC tierces à travers le groupe
- Identification des risques de concentration à l'échelle du groupe
Processus de préparation
Phase 1 : Découverte
| Activité | Livrable |
|---|---|
| Inventaire des contrats | Liste de tous les contrats liés aux TIC |
| Identification des prestataires | Liste dédupliquée des prestataires |
| Cartographie des services | Services fournis par chaque prestataire |
| Cartographie des fonctions | Fonctions métier supportées |
Phase 2 : Collecte des données
| Activité | Livrable |
|---|---|
| Données prestataires | Informations complètes sur les prestataires |
| Données contractuelles | Termes et détails des contrats |
| Données de services | Descriptions et classifications des services |
| Données de localisation | Localisations de traitement et stockage des données |
Phase 3 : Classification
| Activité | Livrable |
|---|---|
| Évaluation de criticité | Identification des fonctions critiques |
| Analyse de concentration | Évaluation du risque de concentration |
| Revue de substituabilité | Évaluation de la remplaçabilité |
Phase 4 : Validation
| Activité | Livrable |
|---|---|
| Revue de qualité des données | Vérification de l'exactitude |
| Contrôle de complétude | Confirmation de la couverture |
| Alignement du format | Conformité au template des AES |
Exigences de soumission
Calendrier
| Événement | Date |
|---|---|
| DORA applicable | 17 janvier 2025 |
| Fenêtre de soumission | 16 février - 13 mars 2026 (approximatif) |
| Soumission des autorités aux AES | 31 mars 2026 |
Les dates exactes sont annoncées par les autorités compétentes.
Format
Les AES ont spécifié :
- Des templates de données standardisés
- Les champs de données et formats requis
- Les spécifications techniques pour la soumission
Fréquence
Après la soumission initiale :
- Mises à jour régulières (probablement annuelles)
- Notifications des changements matériels
- Exigence de maintenance continue
Défis courants
Coopération des prestataires
Défi : Obtenir des informations complètes des prestataires
Solutions :
- Engagez tôt les prestataires sur les exigences de données
- Incluez les exigences d'information dans les contrats
- Utilisez des questionnaires alignés sur les champs du RoI
- Escaladez en cas de manque de coopération
Complexité du groupe
Défi : Agréger les données à travers plusieurs entités
Solutions :
- Standardisez les processus de collecte de données
- Mettez en place une gestion centralisée du registre
- Coordonnez entre les entités du groupe
- Utilisez l'automatisation si possible
Qualité des données
Défi : Assurer l'exactitude et la complétude
Solutions :
- Validez les données par rapport aux contrats
- Croisez avec les achats et la finance
- Mettez en œuvre une gouvernance des données
- Revues régulières de qualité
Cohérence de la classification
Défi : Détermination cohérente des fonctions critiques
Solutions :
- Développez des critères de classification clairs
- Documentez la justification de la classification
- Revoyez périodiquement les classifications
- Formez le personnel aux critères
Maintenance continue
Mises à jour requises
Le registre doit être mis à jour pour :
| Événement | Action |
|---|---|
| Nouveaux arrangements | Ajouter au registre |
| Modifications de contrat | Mettre à jour les champs pertinents |
| Résiliations | Mettre à jour ou supprimer l'entrée |
| Changements de prestataire | Mettre à jour les informations du prestataire |
| Changements de fonction | Réviser la classification de criticité |
Cadence de revue
| Activité | Fréquence |
|---|---|
| Revue d'exactitude des données | Trimestrielle |
| Contrôle de complétude | Semestrielle |
| Revue de classification | Annuelle |
| Audit complet du registre | Annuelle |
Questions fréquentes
Devons-nous inclure tous les prestataires TIC, même mineurs ?
Oui. Le registre doit inclure tous les prestataires de services TIC tiers, bien que le niveau de détail et de scrutin puisse varier selon la criticité et le risque.
Qu'en est-il des services TIC intragroupe ?
Les services TIC fournis au sein du groupe doivent être documentés, particulièrement lorsqu'ils supportent des fonctions critiques. Le traitement dépend des arrangements spécifiques et des orientations réglementaires.
Quel niveau de granularité pour les descriptions de services ?
Les descriptions de services doivent être suffisantes pour comprendre ce que fait le prestataire et quelles fonctions métier en dépendent. Pour les fonctions critiques, plus de détails sont attendus.
Peut-on utiliser les systèmes de gestion de contrats existants ?
Oui, s'ils peuvent capturer les champs de données requis et produire des sorties dans le format requis. De nombreuses organisations améliorent les systèmes existants ou mettent en place des solutions dédiées.
Que se passe-t-il si les données sont incomplètes à la soumission ?
Les soumissions incomplètes peuvent attirer l'attention de la surveillance. Documentez les lacunes connues et les plans de remédiation. Concentrez-vous sur la complétude pour les prestataires de fonctions critiques.
Comment Bastion peut vous aider
Bastion accompagne les entités financières dans la préparation et le maintien du Registre d'informations :
- Évaluation des écarts : Évaluer la documentation tierce actuelle par rapport aux exigences du RoI
- Collecte de données : Support pour recueillir les informations requises auprès des prestataires
- Classification : Assistance pour l'analyse des fonctions critiques et de la concentration
- Remplissage du template : Préparer les soumissions dans les formats requis
- Maintenance continue : Processus pour maintenir le registre à jour
Prêt à préparer votre Registre d'informations ? Parlez à notre équipe
Sources
- Article 28(3) de DORA - Exigence du Registre d'informations
- ITS des AES sur le Registre d'informations - Normes techniques spécifiant le format et le contenu du registre
- Orientations DORA de l'EIOPA - Perspectives de surveillance sur les exigences du registre