Le Règlement européen sur la résilience opérationnelle numérique du secteur financier, dit « DORA » (Digital operational resilience act) est entré en application le 17 janvier 2025. La mise en œuvre d’un certain nombre de dispositions de ce texte est prévue dans le cadre de Règlements délégués.
Le 2 juillet 2025 a été publié un Règlement délégué venant préciser les modalités techniques de mise en œuvre des exigences relatives à la chaîne de sous-traitance.
Quels enseignements tirer pour les entités financières et les prestataires des services TIC ? Quelles bonnes pratiques contractuelles convient-il d’adopter ?
Retrouvez l’essentiel dans nos fiches ci-dessous !
Actualités : Désignation des fournisseurs tiers de services TIC critiques par les autorités européennes de surveillance
Le 18 novembre 2025, les autorités européennes de surveillance (European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA) et European Securities and Markets Authority (ESMA) ont publié la liste des fournisseurs tiers de services informatiques critiques (CTPP) désignés en vertu du Règlement DORA.
Il s’agit d’une étape clé dans la mise en œuvre du cadre de surveillance de DORA. « Les AES ont procédé à une évaluation détaillée de la criticité en coopération avec les autorités compétentes de l’ensemble de l’UE dans les secteurs de la banque, de l’assurance et des pensions, ainsi que des valeurs mobilières et des marchés. Cette évaluation a été réalisée conformément aux critères multidimensionnels définis dans DORA, qui exigeaient une évaluation complète de l’importance systémique d’un fournisseur, de son rôle dans le soutien de fonctions critiques ou importantes pour les entités financières, et du niveau de substituabilité de ses services.
Troisièmement, les fournisseurs tiers de TIC jugés critiques ont été officiellement notifiés, après quoi ils ont pu exercer leur droit d’être entendus en fournissant une déclaration motivée. Les décisions finales de désignation ont été adoptées après un examen minutieux de toutes les informations pertinentes, garantissant ainsi l’intégrité du processus.
Les CTPP désignés fournissent une gamme de services TIC (par exemple, des infrastructures de base aux services commerciaux et de données) à des entités financières de tous types et de toutes tailles dans l’ensemble de l’Union européenne, reflétant ainsi leur rôle central au sein de l’écosystème financier.
L’objectif du cadre de surveillance DORA, confié aux AES, est de promouvoir une gestion saine des risques TIC par les fournisseurs critiques. Grâce à une surveillance directe, les AES évalueront si les CTPP disposent de cadres de gestion des risques et de gouvernance appropriés pour garantir la résilience des services qu’ils fournissent aux entités financières. »
Exigences relatives à la chaîne de sous-traitance : Que retenir pour une entité financière ?
Exigences relatives à la chaîne de sous-traitance : Que retenir pour un prestataire tiers des services TIC ?
Pensez à consulter nos autres articles !
DORA : les précisions techniques apportées par le Règlement délégué relatif à la sous-traitance
Le Règlement DORA, pour un secteur financier cyber-résilient, entre en application !
Data Act : saisir les opportunités en matière de partage de données, à l’ère de l’IoT et de l’IA
Responsabilité civile en matière d’IA : état des lieux et prospective
Cyber Resilience Act : que prévoit le Règlement européen sur la cyber-résilience ?
Comment pouvons-nous vous être utiles ? Développement de vos projets, sensibilisation de vos équipes, formation, mise en conformité et gestion de vos risques… Mathias Avocats vous accompagne, contactez-nous !
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !