Depuis le 17 janvier 2025, le règlement DORA est entré en application.

Si vous êtes établissement de crédit, assureur, société de gestion, plateforme de paiement ou crypto ou encore prestataire TIC travaillant avec des entités du secteur financier, ce règlement impacte directement vos contrats !

L'article 30 de DORA impose d'intégrer des clauses obligatoires, avec des exigences renforcées pour les services supportant des fonctions critiques ou importantes des entités financières.

Clauses obligatoires pour tous les contrats TIC :
- Description claire et complète des services fournis et des conditions applicables à la sous-traitance
- Localisation des données et notification préalable de tout changement
- Protection des données (disponibilité, authenticité, intégrité, confidentialité)
- Accès et récupération des données en cas d'insolvabilité ou de résiliation
- Descriptions des niveaux de service
- Assistance du prestataire en cas d'incident TIC
- Coopération avec les autorités compétentes
- Droits de résiliation avec délais de préavis minimums
- Participation aux programmes de sensibilisation à la sécurité TIC

Clauses additionnelles pour les prestataires soutenant des fonctions critiques ou importantes :
- Objectifs de performance quantitatifs et qualitatifs précis
- Droits d'audit renforcé (entité, auditeurs, autorités)
- Plans de continuité d'activité testés
- Obligation de participer aux tests de pénétration
- Stratégies de sortie avec période de transition obligatoire
- Notification des développements impactant la capacité de service
- Encadrement strict de la sous-traitance (Identification et suivi de la chaîne de sous-traitance avec notification préalable et droit d'opposition)

Comment avancer concrètement ?
1- Distinguez vos contrats TIC selon qu'ils supportent ou non des fonctions critiques/importantes
2- Auditez la conformité de chaque catégorie de contrats
3- Priorisez la mise en conformité des services critiques
4- Renégociez vos contrats via des avenants

Les risques en cas de non-conformité : amendes jusqu'à 10 millions d'euros ou 5% du chiffre d'affaires, injonctions des autorités, voire suspension d'activité.

La bonne nouvelle ? C'est aussi l'occasion de renforcer vraiment la maîtrise de votre chaîne TIC et d'assurer la résilience de vos opérations.