DORA : Date limite du 30 avril 2025 pour la transmission du Registre d'information à l'AMF

Contexte réglementaire et objectifs du Registre d'information DORA

Le règlement DORA (Digital Operational Resilience Act) constitue une avancée majeure dans la gestion des risques liés aux technologies de l'information et de la communication (TIC) dans le secteur financier. L'une des obligations clés de ce règlement concerne la mise en place et la transmission d'un Registre d'information détaillé.

Ce registre vise à recenser de manière exhaustive l'ensemble des accords contractuels relatifs aux services TIC fournis par des prestataires tiers. Cette exigence s'inscrit dans une démarche plus large de renforcement de la résilience opérationnelle numérique du secteur financier.

Modalités pratiques de transmission à l'AMF

L'Autorité des Marchés Financiers (AMF) a fixé une échéance claire pour la transmission de ce registre, à savoir le 30 avril 2025. Les établissements concernés doivent impérativement respecter ce délai pour se conformer à leurs obligations réglementaires.

La transmission s'effectue via l'extranet ROSA de l'AMF, une plateforme sécurisée dédiée aux échanges entre le régulateur et les entités supervisées. L'AFG recommande à ses membres de vérifier dès maintenant leur accès à l'espace ROSA et de s'assurer qu'ils disposent des droits nécessaires pour effectuer cette transmission.

Contenu attendu du Registre d'information

Le Registre d'information DORA doit inclure :

- L'inventaire complet des contrats avec les prestataires de services TIC

- La classification des services selon leur criticité

- Les informations détaillées sur chaque prestataire

- Les mesures de contrôle et de supervision mises en place

- Les plans de continuité et de sortie associés

Impact sur les sociétés de gestion et autres acteurs financiers

Cette obligation concerne l'ensemble des acteurs du secteur financier, notamment les sociétés de gestion de portefeuille. Elle nécessite une revue approfondie de leurs relations avec les prestataires TIC et une documentation précise de ces relations.

Les établissements doivent notamment :

- Identifier tous leurs prestataires TIC

- Évaluer la criticité de chaque service

- Documenter les dispositifs de contrôle existants

- Préparer les informations requises dans le format attendu par l'AMF

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Mettre en place immédiatement une équipe projet dédiée regroupant les fonctions IT, Risques et Compliance

2. Réaliser un audit complet de vos contrats TIC et établir une cartographie des prestataires

3. Vérifier la conformité de vos accords contractuels avec les exigences DORA

4. Préparer le reporting dans le format requis par l'AMF via ROSA