Art. 6 Diligence raisonnable | RTS on ICT third-party service provider policy | DORA

This article sets out the due diligence requirements that must be embedded in the policy when selecting and assessing prospective ICT third-party service providers before entering into a contractual arrangement.

It builds directly on Article 5, which requires a risk assessment to be conducted before a contractual arrangement is concluded, and moves into the practical mechanics of vendor selection.

The article covers a broad range of assessment criteria, from the provider's technical capabilities, financial resources, and security standards, to considerations around sub-contracting, third-country data storage, audit access rights, and even ethical conduct.

It also requires the policy to define how the financial entity will achieve the necessary level of assurance over a provider's performance, drawing on a menu of tools such as audits, certifications, and third-party reports.

Important points:

Assess ICT third-party service providers against a comprehensive set of criteria before entering any contractual arrangement, covering capability, sub-contracting practices, third-country risks, audit rights, and ethical standards.
Define in the policy the required level of assurance over a provider's risk management framework, including an assessment of risk mitigation and business continuity measures.
Use one or more specified assurance tools — such as independent audits, third-party certifications, or provider-supplied reports — to validate ICT third-party service provider performance.

1. La politique définit un processus approprié et proportionné de sélection et d’évaluation des prestataires tiers potentiels de services TIC, en tenant compte de leur appartenance ou non au groupe, et exige qu’avant de conclure un accord contractuel, l’entité financière vérifie si le prestataire tiers de services TIC:
  1. dispose d’une réputation, de capacités, d’une expertise, de ressources financières, humaines et techniques et de normes de sécurité de l’information suffisantes, ainsi que d’une structure organisationnelle, d’une gestion des risques et de contrôles internes appropriés et, s’il y a lieu, du ou des agréments ou immatriculations requis pour fournir de manière fiable et professionnelle les services TIC destinés à soutenir la fonction critique ou importante concernée;
  2. est capable de suivre les évolutions technologiques pertinentes et d’identifier et de mettre en œuvre, le cas échéant, les pratiques de pointe en matière de sécurité des TIC, afin d’obtenir un cadre solide et performant de résilience opérationnelle numérique;
  3. recourt ou a l’intention de recourir à des sous-traitants de services TIC pour fournir les services TIC destinés à soutenir des fonctions critiques ou importantes ou des parties importantes de celles-ci;
  4. est situé dans un pays tiers, ou traite ou stocke les données dans un pays tiers et, dans ce cas, si cette pratique augmente le niveau des risques opérationnels ou réputationnels ou le risque d’être affecté par des mesures restrictives, y compris par des embargos et des sanctions, pouvant avoir un impact sur la capacité du prestataire tiers de services TIC à fournir les services TIC visés, ou la capacité de l’entité financière à bénéficier de ces derniers;
  5. consent à la conclusion d’accords contractuels garantissant qu’il est effectivement possible que des audits soient effectués en son sein, y compris sur place, par l’entité financière elle-même, par des tiers désignés à cet effet et par les autorités compétentes;
  6. agit de manière éthique et socialement responsable, respecte les droits de l’homme et les droits de l’enfant, y compris l’interdiction du travail des enfants, et les principes applicables en matière de protection de l’environnement, et garantit des conditions de travail appropriées.
1. La politique précise le niveau d’assurance requis en ce qui concerne l’efficacité du cadre de gestion des risques liés aux prestataires tiers de services TIC pour les services TIC que fournit un prestataire tiers de tels services à l’appui de fonctions critiques ou importantes. La politique exige que le processus de diligence raisonnable comprenne une vérification de l’existence, chez le prestataire tiers de services TIC, de mesures d’atténuation des risques et de continuité des activités, et de la manière dont leur fonctionnement en son sein est garanti.
1. La politique définit le processus de diligence raisonnable à appliquer pour sélectionner et évaluer les prestataires tiers potentiels de services TIC et indique quels éléments, parmi les suivants, doivent être utilisés pour le niveau d’assurance requis en ce qui concerne les performances d’un prestataire tiers de services TIC:
  1. audits ou évaluations indépendantes effectués par l’entité financière elle-même ou pour son compte;
  2. utilisation de rapports d’audit indépendants établis à la demande du prestataire tiers de services TIC;
  3. utilisation de rapports d’audit établis par la fonction d’audit interne du prestataire tiers de services TIC;
  4. utilisation de certifications de tiers appropriées;
  5. utilisation d’autres informations pertinentes dont dispose l’entité financière ou d’autres informations fournies par le prestataire tiers de services TIC.
1. Les entités financières veillent à ce que les performances du prestataire tiers de services TIC soient soumises à un niveau d’assurance approprié, tenant compte des éléments énumérés au paragraphe 3, points a) à e). S’il y a lieu, plusieurs des éléments énumérés sous ces points sont utilisés.