DORA : Définition des services TIC et nouveaux formulaires pour les accords d'externalisation

Contexte réglementaire et enjeux des services TIC sous DORA

Le règlement DORA (Digital Operational Resilience Act) introduit un cadre harmonisé pour la résilience opérationnelle numérique dans le secteur financier européen. La CSSF vient de publier une clarification importante concernant la définition des services TIC (Technologies de l'Information et de la Communication) ainsi que de nouveaux formulaires pour encadrer les accords avec les prestataires tiers.

Cette publication s'inscrit dans le contexte plus large de la mise en œuvre de DORA, qui vise à renforcer la résilience opérationnelle du secteur financier face aux risques numériques. Les services TIC constituent un élément central de cette réglementation, car ils sont essentiels au fonctionnement quotidien des institutions financières.

Définition détaillée des services TIC selon DORA

Les services TIC englobent les services numériques et de données fournis via des systèmes TIC à un ou plusieurs utilisateurs internes ou externes. Cela comprend :

1. Les services de support et d'exploitation des systèmes

2. La sécurité des données et des systèmes

3. Les services de développement et de maintenance des applications

4. L'hébergement et le stockage des données

5. Les services de réseau et de communication

Nouveaux formulaires pour les accords d'externalisation

La CSSF met à disposition deux nouveaux formulaires standardisés :

1. Formulaire pour les accords de tiers en matière de TIC

2. Formulaire spécifique pour les accords d'externalisation TIC

Ces documents visent à :

- Harmoniser les pratiques de contractualisation

- Faciliter l'évaluation des risques

- Assurer la conformité avec les exigences de DORA

- Standardiser le reporting réglementaire

Impact sur les établissements financiers

Les établissements financiers doivent désormais :

1. Réviser leurs contrats existants avec les prestataires TIC

2. Utiliser les nouveaux formulaires pour tout nouvel accord

3. Mettre à jour leur cartographie des services TIC

4. Renforcer leur dispositif de gestion des risques TIC

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un inventaire exhaustif des services TIC existants et les classifier selon les nouvelles définitions DORA

• Mettre en place un processus de validation des contrats TIC utilisant les nouveaux formulaires CSSF

• Établir une feuille de route pour la mise en conformité des accords existants avec les nouvelles exigences

• Renforcer le dispositif de contrôle permanent sur les prestataires TIC critiques