Considérant 65
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
| (65) | La réalisation de ce suivi devrait se fonder sur une approche stratégique du risque lié aux prestataires tiers de services TIC, laquelle serait formalisée par l’adoption, par l’organe de direction de l’entité financière, d’une stratégie dédiée en matière de risques liés aux prestataires tiers de services TIC reposant sur une analyse continue de toutes les relations de dépendance à l’égard de tous les prestataires tiers de services TIC. Afin que les autorités de surveillance cernent mieux les relations de dépendance à l’égard de prestataires tiers de services TIC, et en vue d’appuyer les travaux menés dans le contexte du cadre de supervision établi par le présent règlement, toutes les entités financières devraient être tenues de disposer d’un registre d’informations contenant tous les accords contractuels relatifs à l’utilisation des services TIC fournis par des prestataires tiers de services TIC. Les autorités de surveillance financière devraient pouvoir demander le registre complet, ou en demander des parties spécifiques, et ainsi obtenir des informations essentielles pour améliorer leur compréhension des relations de dépendance des entités financières à l’égard de prestataires tiers de services TIC. |
Au Luxembourg, la CSSF est l'autorité competente pour DORA et a deja anticipe ces exigences via la circulaire CSSF 22/806 relative aux arrangements d'externalisation, qui imposait deja un registre des accords d'outsourcing TIC. La circulaire reste applicable et se cumule avec DORA : les entités financieres luxembourgeoises doivent donc reconcilier leur registre 22/806 existant avec les 15 templates des RTS ESAs (règlement délégué 2024/1773), sous peine de double déclaration incoherente.
Pratique Luxgap : nous realisons systématiquement un mapping crois entre votre registre CSSF 22/806 actuel et le format DORA cible, pour eviter la duplication et garantir la coherence des deux déclarations.