Art. 9 Suivi des accords contractuels | RTS on ICT third-party service provider policy | DORA

Article 9 focuses on the ongoing monitoring and performance management of ICT third-party service providers once contractual arrangements are in place.

Building on the pre-contractual due diligence requirements established in earlier articles, this article shifts the focus to the live relationship — requiring financial entities to embed continuous oversight mechanisms into their policy.

It covers how performance is measured, how shortcomings are to be identified and remedied, and crucially, how the findings from monitoring feed back into the financial entity's broader risk assessment process established under Article 6.

Important points:

Establish ongoing monitoring of ICT third-party service providers through key indicators, regular reporting, audits, and incident notification requirements embedded in your contractual arrangements.
Document all performance assessments and use the results to update your risk assessment, directly linking day-to-day monitoring back to the entity-level risk framework.
Define clear remediation measures and a monitored implementation timeframe for when shortcomings or incidents are identified in the provision of ICT services supporting critical or important functions.

1. La politique exige que les accords contractuels précisent les mesures et les indicateurs clés qui doivent permettre de suivre en permanence les performances des prestataires tiers de services TIC, notamment les mesures de contrôle du respect des exigences relatives à la confidentialité, la disponibilité, l’intégrité et l’authenticité des données et des informations, ainsi que le respect, par ces prestataires, des politiques et procédures de l’entité financière en la matière. La politique précise aussi les mesures qui s’appliquent en cas de manquement à des accords sur le niveau de service, y compris, le cas échéant, les pénalités contractuelles applicables.
1. La politique précise comment l’entité financière doit évaluer si les prestataires tiers de services TIC auxquels il est fait appel pour des services TIC soutenant des fonctions critiques ou importantes respectent des normes de performance et de qualité appropriées correspondant à l’accord contractuel et à ses propres politiques. La politique garantit en particulier:
  1. que les prestataires tiers de services TIC fourniront à l’entité financière des rapports appropriés sur leurs activités et services, notamment des rapports périodiques, des rapports d’incidents, des rapports sur les services fournis, des rapports sur la sécurité des TIC et des rapports sur les mesures et tests de continuité des activités;
  2. que les performances des prestataires tiers de services TIC seront évaluées à l’aide d’indicateurs de performance clés, d’indicateurs de contrôle clés, d’audits, d’auto-certifications et d’examens indépendants conformes au cadre de gestion des risques liés aux TIC de l’entité financière;
  3. que les prestataires tiers de services TIC communiqueront à l’entité financière toute autre information pertinente;
  4. que les incidents liés aux TIC et les incidents opérationnels ou liés à la sécurité des paiements seront notifiés à l’entité financière lorsque cela est approprié;
  5. qu’un examen indépendant et des audits indépendants seront effectués pour vérifier le respect des exigences et politiques légales et réglementaires.
1. La politique précise que l’évaluation visée au paragraphe 2 doit être documentée et ses résultats utilisés pour actualiser l’évaluation des risques de l’entité financière prévue par l’article 6.
1. La politique définit les mesures appropriées que l’entité financière doit prendre si elle constate, chez des prestataires tiers de services TIC, des lacunes, notamment des incidents liés aux TIC et des incidents opérationnels ou liés à la sécurité des paiements, dans la prestation de services TIC soutenant des fonctions critiques ou importantes ou dans le respect d’accords contractuels ou d’exigences légales. Elle précise aussi comment il convient de suivre la mise en œuvre de ces mesures afin qu’elles soient effectivement respectées dans un délai déterminé, tenant compte de l’importance des lacunes constatées.