Art. 1 Profil de risque global et complexité | RTS on ICT third-party service provider policy | DORA

This opening article establishes the foundational scope and calibration of the policy that financial entities must maintain regarding the use of ICT third-party service providers for critical or important functions.

Rather than prescribing a one-size-fits-all approach, it sets out that the policy must be shaped by the specific characteristics of the financial entity itself — its size, risk profile, and operational complexity — as well as a broad range of factors relating to the nature of the third-party relationships involved.

These factors span geographic considerations, the regulatory status of providers, data sensitivity, concentration risk, and the potential impact of service disruptions.

Important points:

Tailor your policy on ICT third-party services to reflect the size, risk profile, and complexity of your organisation, not a generic standard.
Key factors to account for include the geographic location of providers and data, whether providers are regulated, and whether services are concentrated among a small number of providers.
Assess the transferability of critical ICT services to another provider and the potential impact of disruptions on business continuity.

La politique relative à l’utilisation de services TIC soutenant des fonctions critiques ou importantes qui sont fournis par des prestataires tiers de services TIC (ci-après la «politique») tient compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’échelle et des facteurs d’augmentation ou de diminution de la complexité de ses services, activités et opérations, y compris des éléments suivants:

le type de services TIC inclus dans chaque accord contractuel sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes (ci-après l’«accord contractuel») conclu entre l’entité financière et un prestataire tiers de services TIC;
la situation géographique du prestataire tiers de services TIC ou celle de son entreprise mère;
si les services TIC soutenant des fonctions critiques ou importantes sont fournis par un prestataire tiers de services TIC situé dans un État membre ou dans un pays tiers, compte tenu également du lieu à partir duquel les services TIC sont fournis et du lieu où les données sont traitées et stockées;
la nature des données partagées avec le prestataire tiers de services TIC;
si le prestataire tiers de services TIC fait partie du même groupe que l’entité financière à laquelle les services sont fournis;
le recours à des prestataires tiers de services TIC qui sont agréés, immatriculés ou soumis à la surveillance ou à la supervision d’une autorité compétente d’un État membre ou qui sont assujettis au cadre de supervision prévu au chapitre V, section II, du règlement (UE) 2022/2554, et le recours à des prestataires tiers de services TIC qui ne le sont pas;
le recours à des prestataires tiers de services TIC qui sont agréés, immatriculés ou soumis à la surveillance ou à la supervision d’une autorité compétente d’un pays tiers, et le recours à des prestataires tiers de services TIC qui ne le sont pas;
si la fourniture des services TIC soutenant des fonctions critiques ou importantes est concentrée chez un seul prestataire tiers de services TIC ou un petit nombre de tels prestataires;
la transférabilité des services TIC soutenant des fonctions critiques ou importantes à un autre prestataire tiers de services TIC, y compris du fait de spécificités technologiques;
l’impact potentiel de perturbations dans la fourniture des services TIC soutenant des fonctions critiques ou importantes sur la continuité des activités de l’entité financière et sur la disponibilité de ses services.