Le Règlement européen sur la résilience opérationnelle numérique du secteur financier, dit « DORA » (Digital operational resilience act) est entré en application le 17 janvier 2025.
Dans un article dédié, nous précisions les objectifs, les exigences et le calendrier de mise en œuvre de cette réglementation.
Le 2 juillet 2025 a été publié un Règlement délégué venant préciser les modalités techniques de mise en œuvre des exigences relatives à la chaîne de sous-traitance, en vertu du Règlement DORA. Quels sont les points-clés de ce texte et les bonnes pratiques à adopter ?
Que prévoit le Règlement délégué publié le 2 juillet 2025 ?
Un certain nombre de dispositions du Règlement DORA ont été précisées dans le cadre de normes techniques (regular technical standards, RTS) et de mise en oeuvre (implementing technical standards, ITS). Une fois adoptés par la Commission européenne, ces normes deviennent des règlements délégués ou des règlements d’exécution, publiés au Journal officiel de l’Union européenne (JOUE).
Ainsi, ont notamment été précisés dans le cadre de règlements délégués : « la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières » et « les critères de classification des incidents liés aux TIC et des cyber-menaces ».
Le 2 juillet 2025 a été publié le règlement délégué (UE) 2025/532, qui était très attendu, compte tenu des enjeux juridiques de la résilience au regard de la sous-traitance.
Ce texte a pour objet de préciser les éléments que les entités financières doivent évaluer lorsqu’elles sous-traitent des services relatifs aux technologies de l’information et de la communication (TIC) en charge de leurs fonctions critiques ou importantes.
Plus spécifiquement, ce règlement 2025/532 prévoit une évaluation renforcée des sous-traitants et apporte les précisions suivantes :
L’accord contractuel conclu entre l’entité financière et le prestataire de service TIC devra notamment préciser :
• L’identification exhaustive de tous les sous-traitant critiques,
• Des clauses de notification préalable pour tout changement matériel,
• Des droits d’audit pour l’entité financière et les autorités de supervision,
• Un droit de résiliation en cas de non-respect des conditions.
Avant de conclure un accord contractuel avec un prestataire tiers de service TIC, l’entité financière devra se livrer à une évaluation renforcée de ce sous-traitant, au travers de 12 critères spécifiques à analyser, notamment :
• La localisation géographique des sous-traitants et de leurs données,
• La complexité de la chaîne de sous-traitance,
• La concentration des services chez un seul prestataire,
• L’impact potentiel d’une défaillance sur la continuité opérationnelle.
Pour les groupes financiers, la maison mère devra veiller à l’application cohérente du règlement 2025/532 dans toutes les entités.
Le règlement 2025/532 entrera en vigueur le 23 juillet 2025.
Les bonnes pratiques à adopter
En vertu du Règlement DORA et des règlements délégués et d’exécution, un certain nombre de bonnes pratiques peuvent être mises œuvre par les entités, dans le cadre de leurs relations avec leurs sous-traitants.
Une vigilance accrue pourra être portée aux points suivants, qui pourront être négociés afin de renforcer la visibilité sur la chaîne de sous-traitance :
• Prévoir des procédures d’approbation préalable en cas de changements,
• Rédiger des clauses de réversibilité renforcées,
• Prévoir la localisation des données dans l’Union européenne si cela est possible.
Mise en conformité DORA, où en êtes-vous ? Comment pouvons-nous vous être utiles ?
Développement de vos projets, sensibilisation de vos équipes, formation, contrats, mise en conformité et gestion de voss risques. Contactez-nous ! L’équipe de Mathias Avocats est à votre écoute.
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !