Article 28 Principes généraux

Summary What does Article 28 of the DORA regulation say?

This is one of the more substantial articles in DORA, setting out the overarching framework for how financial entities must manage ICT third-party risk.

Building directly on the ICT risk management framework established in Article 6, it establishes that outsourcing ICT services does not transfer regulatory responsibility — financial entities remain fully accountable at all times.

The article covers the full lifecycle of third-party ICT arrangements: pre-contractual due diligence and risk assessment, ongoing monitoring and audit rights, mandatory register-keeping and reporting to competent authorities, and — critically — the requirement to have documented exit strategies in place so that a provider can be replaced without disrupting business operations or client services.

Important points:

Manage ICT third-party risk as an integral part of your ICT risk management framework — using ICT services via a third party does not transfer your regulatory obligations.
Maintain a register of all ICT third-party contractual arrangements, report on them at least yearly to competent authorities, and conduct pre-contractual due diligence before entering any new arrangement.
Put in place documented, tested exit strategies for ICT services supporting critical or important functions, including transition plans and contingency measures to ensure continuity if a provider relationship ends.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les entités financières gèrent les risques liés aux prestataires tiers de services TIC en tant que partie intégrante du risque lié aux TIC dans leur cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, et conformément aux principes suivants:
  1. les entités financières qui ont conclu des accords contractuels pour l’utilisation de services TIC dans le cadre de leurs activités restent à tout moment pleinement responsables du respect et de l’exécution de toutes les obligations découlant du présent règlement et du droit applicable aux services financiers;
  2. les entités financières gèrent les risques liés aux prestataires tiers de services TIC dans le respect du principe de proportionnalité, en tenant compte:
    de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC,
    des risques découlant des accords contractuels portant sur l’utilisation de services TIC conclus avec des prestataires tiers de services TIC, compte tenu de la criticité ou de l’importance du service, du processus ou de la fonction en question, ainsi que des incidences potentielles de ces risques sur la continuité et la disponibilité des services et activités financiers, au niveau individuel et au niveau du groupe.
1. Aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières, autres que les entités visées à l’article 16, paragraphe 1, premier alinéa, et autres que les microentreprises, adoptent une stratégie en matière de risques liés aux prestataires tiers de services TIC et la réexaminent régulièrement, en tenant compte de la stratégie multi-fournisseurs visée à l’article 6, paragraphe 9, le cas échéant. La stratégie en matière de risques liés aux prestataires tiers de services TIC inclut une politique relative à l’utilisation des services TIC qui soutiennent des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC et s’applique sur une base individuelle et, le cas échéant, sur une base sous-consolidée et consolidée. Sur la base d’une évaluation du profil de risque global de l’entité financière ainsi que de l’ampleur et de la complexité des services, l’organe de direction examine régulièrement les risques identifiés en ce qui concerne les accords contractuels relatifs à l’utilisation des services TIC qui soutiennent des fonctions critiques ou importantes.
1. Aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières tiennent et mettent à jour, au niveau de l’entité et aux niveaux sous-consolidé et consolidé, un registre d’informations en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.
2. Les accords contractuels visés au premier alinéa sont dûment documentés, en opérant une distinction entre ceux qui couvrent des services TIC qui soutiennent des fonctions critiques et ceux qui ne le font pas.
3. Les entités financières communiquent au moins une fois par an aux autorités compétentes le nombre de nouveaux accords relatifs à l’utilisation de services TIC, les catégories de prestataires tiers de services TIC, le type d’accords contractuels et les services et fonctions de TIC qui sont fournis.
4. Les entités financières mettent à la disposition de l’autorité compétente, si elle en fait la demande, le registre d’informations complet ou, le cas échéant, des sections spécifiques de celui-ci, ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière.
5. Les entités financières informent en temps utile l’autorité compétente de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante.
1. Avant de conclure un accord contractuel sur l’utilisation de services TIC, les entités financières:
  1. déterminent si l’accord contractuel couvre l’utilisation de services TIC qui soutiennent une fonction critique ou importante;
  2. évaluent si les conditions de surveillance en matière de conclusion de contrats sont remplies;
  3. identifient et évaluent tous les risques pertinents ayant trait à l’accord contractuel, y compris la possibilité que cet accord contractuel contribue à accroître le risque de concentration informatique visé à l’article 29;
  4. font preuve de toute la diligence requise à l’égard des prestataires tiers de services TIC potentiels et s’assurent, tout au long des processus de sélection et d’évaluation, que les prestataires tiers de services TIC présentent les qualités requises;
  5. identifient et évaluent les conflits d’intérêts susceptibles de découler de l’accord contractuel.
1. Les entités financières ne peuvent conclure des accords contractuels qu’avec des prestataires tiers de services TIC qui respectent des normes adéquates en matière de sécurité de l’information. Lorsque ces accords contractuels portent sur des fonctions critiques ou importantes, les entités financières prennent en considération, avant la conclusion des accords, l’utilisation par les prestataires tiers de services TIC des normes les plus actualisées et les plus élevées en matière de sécurité de l’information.
1. Lorsqu’elles exercent leurs droits d’accès, d’inspection et d’audit à l’égard d’un prestataire tiers de services TIC, les entités financières déterminent au préalable, sur la base d’une approche fondée sur les risques, la fréquence des audits et des inspections, ainsi que les domaines qui doivent faire l’objet d’un audit, dans le respect des normes d’audit communément admises et conformément à toute instruction de surveillance relative à l’utilisation et à l’incorporation de ces normes d’audit.
2. Lorsque des accords contractuels conclus avec des prestataires tiers de services TIC impliquent un niveau élevé de complexité technique, l’entité financière vérifie que les auditeurs, qu’il s’agisse d’auditeurs internes ou externes ou d’un groupe d’auditeurs, possèdent les compétences et les connaissances requises pour réaliser efficacement les évaluations et les audits pertinents.
1. Les entités financières veillent à ce que les accords contractuels relatifs à l’utilisation de services TIC puissent être résiliés dans l’une des circonstances suivantes:
  1. le prestataire tiers de services TIC a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables;
  2. le suivi des risques liés aux prestataires tiers de services TIC a révélé l’existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du prestataire tiers de services TIC;
  3. le prestataire tiers de services TIC présente des faiblesses avérées liées à sa gestion globale du risque lié aux TIC et, en particulier, dans la manière dont il assure la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, qu’il s’agisse de données à caractère personnel ou autrement sensibles, ou de données à caractère non personnel;
  4. l’autorité compétente ne peut plus surveiller efficacement l’entité financière en raison des conditions de l’accord contractuel en question ou des circonstances qui y sont liées.
1. Pour les services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières mettent en place des stratégies de sortie. Les stratégies de sortie tiennent compte des risques susceptibles d’apparaître au niveau des prestataires tiers de services TIC, en particulier une éventuelle défaillance de leur part, une détérioration de la qualité des services TIC fournis, toute perturbation de l’activité due à une fourniture inappropriée ou défaillante de services TIC ou tout risque significatif découlant du déploiement approprié et continu du service TIC concerné, ou la résiliation d’accords contractuels conclus avec un prestataire tiers de services TIC dans l’une des circonstances énumérées au paragraphe 7.
2. Les entités financières veillent à ce qu’elles puissent se retirer des accords contractuels sans:
  1. perturber leurs activités;
  2. restreindre le respect des exigences réglementaires;
  3. porter atteinte à la continuité et à la qualité des services fournis aux clients.
3. Les plans de sortie sont complets et documentés et, conformément aux critères énoncés à l’article 4, paragraphe 2, sont soumis à des tests suffisants et réexaminés périodiquement.
4. Les entités financières définissent des solutions alternatives et élaborent des plans de transition leur permettant de supprimer les services TIC visés par le contrat et les données pertinentes détenues par le prestataire tiers de services TIC, et de les transférer en toute sécurité et intégralement à des prestataires alternatifs ou de les réincorporer en interne.
5. Les entités financières disposent des mesures d’urgence qui s’imposent pour maintenir la continuité des activités au cas où les circonstances visées au premier alinéa se présenteraient.
1. Les AES élaborent, agissant par l’intermédiaire du comité mixte, des projets de normes techniques d’exécution visant à mettre en place les modèles types aux fins du registre d’informations visé au paragraphe 3, y compris les informations communes à tous les accord contractuels relatifs à l’utilisation de services TIC. Les AES soumettent ces projets de normes techniques d’exécution à la Commission au plus tard le 17 janvier 2024.
2. Le pouvoir d’adopter les normes techniques d’exécution visées au premier alinéa est conféré à la Commission conformément à l’article 15 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.
1. Les AES élaborent, agissant par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation pour préciser davantage le contenu détaillé de la stratégie visée au paragraphe 2 en ce qui concerne les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC.
2. Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
3. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Relevant recitals

Considérant 28 Complex contractual arrangements and monitoring difficulties

L’utilisation étendue des services TIC est attestée par des accords contractuels complexes, dans le cadre desquels les entités financières ont souvent du mal à négocier des conditions contractuelles adaptées aux normes prudentielles ou autres exigences réglementaires auxquelles elles sont soumises, ou encore à faire respecter des droits spécifiques, tels que les droits d’accès ou d’audit, même lorsque ces derniers sont inscrits dans leurs accords contractuels. En outre, nombre de ces accords contractuels ne prévoient pas de garanties suffisantes pour permettre un véritable suivi des processus de sous-externalisation, privant ainsi l’entité financière de sa capacité à évaluer les risques associés. De plus, comme les prestataires tiers de services TIC fournissent souvent des services standardisés à différents types de clients, ces accords contractuels ne répondent pas toujours de manière appropriée aux besoins individuels ou particuliers des acteurs du secteur financier.

Considérant 29 Key principles for ICT third-party risk management

Bien que le droit de l’Union sur les services financiers contienne certaines règles générales sur l’externalisation, le suivi de la dimension contractuelle n’est pas pleinement consacré dans le droit de l’Union. En l’absence de normes de l’Union claires et adaptées applicables aux accords contractuels conclus avec des prestataires tiers de services TIC, la source extérieure du risque lié aux TIC n’est pas traitée de manière exhaustive. Par conséquent, il est nécessaire de définir certains principes clés pour encadrer la gestion, par les entités financières, du risque lié aux prestataires tiers de services TIC, qui revêtent une importance particulière lorsque les entités financières ont recours à des prestataires tiers de services TIC pour soutenir leurs fonctions critiques ou importantes. Ces principes devraient être assortis d’un ensemble de droits contractuels fondamentaux ayant trait à plusieurs éléments de l’exécution et de la résiliation des accords contractuels, en vue de consacrer certaines garanties minimales visant à renforcer la capacité des entités financières à assurer un suivi efficace de tous les risques liés aux TIC qui se posent au niveau des prestataires tiers de services. Ces principes complètent le droit sectoriel applicable à l’externalisation.

Considérant 30 Lack of homogeneity in monitoring ICT third-party dependencies

Un certain manque d’homogénéité et de convergence en ce qui concerne le suivi des risques liés aux prestataires tiers de services TIC et de la dépendance à l’égard de ceux-ci est aujourd’hui évident. Malgré certains efforts pour couvrir l’externalisation, tels que les orientations de l’ABE de 2019 relatives à l’externalisation et les orientations de l’AEMF de 2021 relatives à la sous-traitance à des prestataires de services en nuage, la question plus large de la lutte contre le risque systémique qui peut être déclenché par l’exposition du secteur financier à un nombre limité de prestataires tiers critiques de services TIC n’est pas suffisamment pris en compte dans le droit de l’Union. Le manque de règles au niveau de l’Union est aggravé par l’absence de règles nationales en matière de mandats et d’outils qui permettent aux autorités de surveillance financière d’acquérir une solide compréhension des relations de dépendance à l’égard des prestataires tiers de services TIC afin d’assurer un suivi adéquat des risques découlant de la concentration de ces relations de dépendance.

Considérant 35 Definition of ICT services and exclusion of traditional telephone services

Afin de maintenir un niveau élevé de résilience opérationnelle numérique pour l’ensemble du secteur financier et, dans le même temps, de rester en phase avec les évolutions technologiques, le présent règlement devrait lutter contre le risque émanant de tous les types de services TIC. À cette fin, la définition des services TIC dans le contexte du présent règlement devrait être comprise de manière large, englobant les services numériques et de données fournis en continu par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes. Cette définition devrait, par exemple, inclure les services dits «par contournement», qui relèvent de la catégorie des services de communications électroniques. Elle ne devrait exclure que la catégorie limitée des services traditionnels de téléphonie analogique pouvant être considérés comme des services de réseau téléphonique commuté public (RTCP), des services de réseau fixe, un service téléphonique traditionnel (POTS) ou des services de téléphonie fixe.

Considérant 62 Guiding rules for monitoring ICT third-party risk

Afin d’assurer un suivi efficace du risque lié aux prestataires tiers de services TIC dans le secteur financier, il convient d’établir un ensemble de règles de principe destinées à guider les entités financières lors du suivi des risques engendrés par l’externalisation de fonctions à des prestataires tiers de services TIC, en particulier pour les services TIC qui soutiennent des fonctions critiques ou importantes, ainsi que, plus généralement, par les relations de dépendance à l’égard de tous les prestataires tiers de services TIC.

Considérant 63 Wide range of ICT third-party service providers

Afin de remédier à la complexité des différentes sources du risque lié aux TIC, tout en tenant compte de la multitude et de la diversité des fournisseurs de solutions technologiques qui permettent une fourniture sans accrocs de services financiers, le présent règlement devrait couvrir un large éventail de prestataires tiers de services TIC, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données et les fournisseurs de services de centres de données. De la même manière, étant donné que les entités financières devraient identifier et gérer de manière efficace et cohérente tous les types de risques, y compris dans le contexte des services TIC acquis au sein d’un groupe financier, il convient de préciser que les entreprises qui font partie d’un groupe financier et fournissent des services TIC principalement à leur entreprise mère, ou à des filiales ou succursales de leur entreprise mère, ainsi que les entités financières fournissant des services TIC à d’autres entités financières, devraient également être considérées comme des prestataires tiers de services TIC au titre du présent règlement. Enfin, compte tenu de l’évolution du marché des services de paiement, qui dépend de plus en plus de solutions techniques complexes, et des types émergents de services de paiement et de solutions liées au paiement, les participants à l’écosystème des services de paiement, qui exercent des activités de traitement du paiement ou exploitent des infrastructures de paiement, devraient également être considérés comme des prestataires tiers de services TIC au titre du présent règlement, à l’exception des banques centrales lorsqu’elles exploitent des systèmes de paiement ou de règlement des opérations sur titres et des autorités publiques lorsqu’elles fournissent des services liés aux TIC dans le contexte de l’exercice de fonctions de l’État.

Considérant 64 Financial entities remain fully responsible

Une entité financière devrait à tout moment demeurer pleinement responsable du respect des obligations qui lui incombent en vertu du présent règlement. Les entités financières devraient adopter une approche proportionnée du suivi des risques survenant au niveau des prestataires tiers de services TIC en tenant dûment compte de la nature, de l’ampleur, de la complexité et de l’importance de leurs relations de dépendance liées aux TIC, de la criticité ou de l’importance des services, processus ou fonctions faisant l’objet des accords contractuels et, enfin, en procédant à une évaluation minutieuse de toute incidence potentielle sur la continuité et la qualité des services financiers au niveau individuel et au niveau du groupe, selon le cas.

Considérant 65 Register of information with contractual arrangements

La réalisation de ce suivi devrait se fonder sur une approche stratégique du risque lié aux prestataires tiers de services TIC, laquelle serait formalisée par l’adoption, par l’organe de direction de l’entité financière, d’une stratégie dédiée en matière de risques liés aux prestataires tiers de services TIC reposant sur une analyse continue de toutes les relations de dépendance à l’égard de tous les prestataires tiers de services TIC. Afin que les autorités de surveillance cernent mieux les relations de dépendance à l’égard de prestataires tiers de services TIC, et en vue d’appuyer les travaux menés dans le contexte du cadre de supervision établi par le présent règlement, toutes les entités financières devraient être tenues de disposer d’un registre d’informations contenant tous les accords contractuels relatifs à l’utilisation des services TIC fournis par des prestataires tiers de services TIC. Les autorités de surveillance financière devraient pouvoir demander le registre complet, ou en demander des parties spécifiques, et ainsi obtenir des informations essentielles pour améliorer leur compréhension des relations de dépendance des entités financières à l’égard de prestataires tiers de services TIC.

Considérant 66 Thorough pre-contracting analysis for ICT third-party services

Une analyse précontractuelle approfondie devrait étayer et précéder la conclusion formelle des accords contractuels, en particulier en se concentrant sur des éléments tels que la criticité ou l’importance des services faisant l’objet du contrat TIC envisagé, les accords nécessaires des autorités de contrôle ou d’autres conditions, l’éventuel risque de concentration encouru, ainsi qu’en appliquant la diligence requise dans le processus de sélection et d’évaluation des prestataires tiers de services TIC et en analysant les éventuels conflits d’intérêts. En ce qui concerne les accords contractuels portant sur des fonctions critiques ou importantes, les entités financières devraient prendre en considération l’utilisation par les prestataires tiers de services TIC des normes les plus actualisées et les plus élevées en matière de sécurité de l’information. La résiliation des accords contractuels pourrait être déclenchée à tout le moins par un ensemble de circonstances révélant des insuffisances au niveau du prestataire tiers de services TIC, notamment des violations des dispositions législatives ou contractuelles, des circonstances révélant une possible altération de l’exécution des fonctions prévues par les accords contractuels, des faiblesses avérées du prestataire tiers de services TIC dans sa gestion globale du risque lié aux TIC, ou des circonstances indiquant l’incapacité de l’autorité compétente concernée à surveiller efficacement l’entité financière.

Considérant 74 Exit strategies and resolution resilience

Ces accords contractuels devraient également établir des droits de résiliation clairs et des préavis minimaux correspondants, ainsi que des stratégies de sortie spécifiques prévoyant, en particulier, des périodes de transition obligatoires pendant lesquelles les prestataires tiers de services TIC seraient tenus de continuer à fournir les services concernés en vue de réduire le risque de perturbations au niveau de l’entité financière, de permettre à celle-ci de passer à l’utilisation d’autres prestataires tiers de services TIC, ou encore de recourir à des solutions en interne, en fonction de la complexité du service TIC fourni. En outre, les entités financières relevant du champ d’application de la directive 2014/59/UE devraient veiller à ce que les contrats de services TIC pertinents soient solides et pleinement exécutoires en cas de résolution de ces entités financières. Par conséquent, conformément aux attentes des autorités de résolution, ces entités financières devraient veiller à ce que les contrats de services TIC pertinents soient résilients en matière de résolution. Tant qu’elles continuent d’honorer leurs obligations de paiement, ces entités financières devraient faire en sorte, entre autres exigences, que les contrats de services TIC pertinents comportent des clauses de non-résiliation, de non-suspension et de non-modification pour des motifs de restructuration ou de résolution.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.