Feuille de route des ESAs pour la désignation des CTPPs sous DORA : Un cadre structurant pour la résilience opérationnelle numérique

Contexte et enjeux de la désignation des CTPPs

Les Autorités européennes de surveillance (ESAs - EBA, EIOPA et ESMA) viennent de publier leur feuille de route détaillant le processus de désignation des fournisseurs tiers critiques de services informatiques (CTPPs) dans le cadre du règlement DORA (Digital Operational Resilience Act). Cette publication marque une étape importante dans la mise en œuvre de DORA et la supervision des prestataires technologiques critiques pour le secteur financier.

La désignation des CTPPs est un élément central de DORA, visant à renforcer la résilience opérationnelle numérique du système financier européen. Les CTPPs désignés seront soumis à un cadre de surveillance direct par les ESAs, reconnaissant leur rôle crucial dans le maintien de la stabilité financière.

Processus et critères de désignation

La feuille de route établit un processus en plusieurs étapes pour la désignation des CTPPs :

1. Collecte d'informations auprès des entités financières sur leurs prestataires de services informatiques

2. Analyse des données selon des critères quantitatifs et qualitatifs

3. Évaluation approfondie des fournisseurs potentiellement critiques

4. Décision finale de désignation

Les critères d'évaluation incluent :

- La systémicité des services fournis

- La dépendance du secteur financier

- L'impact potentiel d'une défaillance

- La substituabilité des services

Implications pour les acteurs du secteur financier

Cette feuille de route a des implications significatives pour :

- Les institutions financières : obligation de reporting sur leurs prestataires IT

- Les fournisseurs de services IT : préparation potentielle au statut de CTPP

- Les autorités de surveillance : nouveau cadre de supervision

Calendrier de mise en œuvre

Les ESAs prévoient :

- 2025 : Début de la collecte d'informations

- 2026 : Premières désignations de CTPPs

- Suivi continu et réévaluation périodique

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Cartographier vos prestataires IT critiques et évaluer leur potentiel statut de CTPP

2. Préparer les processus de reporting pour répondre aux demandes d'information des ESAs

3. Revoir vos contrats avec les prestataires IT pour intégrer les exigences DORA

4. Mettre en place une veille sur les désignations de CTPPs et leurs implications pour votre organisation

5. Renforcer votre dispositif de gestion des risques liés aux tiers