Conformité de la gestion des risques liés aux tiers DORA

Simplifier les évaluations de tiers DORA

La loi sur la résilience opérationnelle numérique (DORA ) vise à garantir que le secteur financier européen soit en mesure de maintenir sa résilience en cas de graves perturbations opérationnelles.

La DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entreprises et des organisations opérant dans le secteur financier, telles que les banques, les compagnies d'assurance et les entreprises d'investissement.

DORA crée un cadre réglementaire pour la résilience opérationnelle numérique en vertu duquel toutes les entreprises doivent confirmer qu'elles peuvent résister, répondre et se rétablir d'un large éventail de perturbations des TIC et de menaces cyber . Elle s'applique également aux tiers essentiels qui fournissent des services TIC (technologies de l'information et de la communication) au secteur des services financiers, tels que des plateformes en nuage ou des services d'analyse de données.

Conditions applicables

Évaluer les risques liés aux fournisseurs tiers de TIC, y compris les risques opérationnels, les risques de concentration et les risques systémiques.
Veillez à ce que les contrats des fournisseurs tiers comportent des droits et des obligations qui peuvent être évalués en permanence.
Tenir un registre de tous les fournisseurs et services tiers en matière de TIC.
Élaborer des plans de reprise et d'urgence en cas de cyberattaques ou de pannes à grande échelle.
Procéder à un contrôle préalable complet avant de conclure des contrats avec des fournisseurs de services TIC tiers.
Contrôler les risques de concentration liés aux fournisseurs tiers de TIC.
Tester les capacités de résilience opérationnelle des fournisseurs tiers de TIC.
Veiller à ce que les sous-traitants soient soumis aux mêmes normes de diligence raisonnable, de contrôle et de gestion des risques.

Liste de contrôle de la conformité des tiers à la DORA

Cette liste de contrôle complète examine les articles clés du chapitre V de DORA : Managing of ICT Third-Party Risk et fournit des conseils pour répondre aux exigences.

Liste de contrôle de la conformité de Dora Feature

Mise en correspondance des capacités de Prevalent avec les exigences du DORA Chapitre V : Gestion des risques liés aux TIC pour les tiers

Le chapitre V, section I, articles 28 à 30, décrit les pratiques permettant de satisfaire aux exigences en matière de surveillance réglementaire.
REMARQUE : il ne s'agit pas d'une liste exhaustive des exigences du DORA. Pour obtenir une vue d'ensemble des exigences du DORA, veuillez consulter l'intégralité de la loi et consulter l'équipe d'audit ou l'auditeur externe de votre organisation.

Chapitre V : Gestion des risques liés aux TIC pour les tiers
Section I : Principes clés pour une saine gestion des risques liés aux TIC avec des tiers

Exigence DORA	Meilleure pratique correspondante en matière de gestion des risques pour les tiers
Article 28 : Principes généraux
28 (1). Les entités financières gèrent le risque lié aux TIC pour les tiers comme une composante à part entière du risque lié aux TIC au sein de leur cadre de gestion du risque lié aux TIC tel que visé à l'article 6, paragraphe 1, et conformément aux principes suivants visé à l'article 6, paragraphe 1, et conformément aux principes suivants : (a) les entités financières qui ont mis en place des arrangements contractuels pour l'utilisation de services TIC dans le cadre de leurs activités commerciales restent, à tout moment, pleinement responsables du respect et de l'exécution de toutes les obligations qui leur incombent en matière de TIC. du respect et de l'exécution de toutes les obligations obligations au titre du présent règlement et de la législation applicable en matière de services financiers applicable en matière de services financiers ; (b) la gestion par les entités financières du risque de tiers lié aux TIC est mise en œuvre à la lumière du principe de proportionnalité, en tenant compte principe de proportionnalité, en tenant compte (i) la nature, l'échelle, la complexité et l'importance des dépendances liées aux TIC, (ii) les risques découlant d'accords contractuels contractuels relatifs à l'utilisation des services TIC conclus avec des prestataires de services TIC tiers, en tenant compte de la criticité ou de l'importance du service, du processus ou de la fonction concerné(e), et de l'impact potentiel sur la continuité et la disponibilité des services et activités financiers, à la date de clôture de l'exercice. disponibilité des services et activités financiers, au niveau au niveau individuel et au niveau du groupe. 28 (2). Dans le cadre de leur gestion des risques liés aux TIC, les entités financières autres que les entités visées à l'article 16, paragraphe 1, premier alinéa, et autres que les micro-entreprises, adoptent et réexaminent régulièrement une stratégie relative aux risques liés aux TIC pour les tiers, en tenant compte, le cas échéant, de la stratégie multi-fournisseurs visée à l'article 6, paragraphe 9. La stratégie relative au risque TIC de tiers comprend une politique d'utilisation des services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires de services TIC de tiers et s'applique sur une base individuelle et, le cas échéant, sur une base sous-consolidée et consolidée. L'organe de direction, sur la base d'une évaluation du profil de risque global de l'entité financière ainsi que de l'échelle et de la complexité des services commerciaux, réexamine régulièrement les risques identifiés en ce qui concerne les accords contractuels relatifs à l'utilisation de services TIC soutenant des fonctions critiques ou importantes.	Prevalent collabore avec votre équipe pour définir et mettre en œuvre des stratégies, des processus et des solutions de TPRM dans le contexte de votre approche globale de la gestion des risques, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de prendre en compte l'ensemble du cycle de vie des risques liés aux tiers, depuis le sourcing et la diligence raisonnable jusqu'à la résiliation et l'abandon des activités. Dans le cadre de ce processus, Prevalent vous aide à définir : Rôles et responsabilités clairement définis (par exemple, RACI). Inventaires de tiers. Une évaluation des risques et des seuils basés sur la tolérance au risque de votre organisation. Évaluation et suivi. méthodologies basées sur la criticité des tiers. Cartographie de la quatrième partie pour comprendre les risques dans l'écosystème étendu des fournisseurs. Sources de données de contrôle continu (cyber, commerciales, réputationnelles et financières). Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI). Politiques, normes, systèmes et processus régissant la protection des données. les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service. Exigences en matière de réponse aux incidents. Rapports sur les risques et les parties prenantes internes. Stratégies d'atténuation des risques et de remédiation.
28 (3). Dans le cadre de leur cadre de gestion des risques liés aux TIC, les entités financières tiennent et mettent à jour au niveau de l'entité, ainsi qu'aux niveaux sous-consolidé et consolidé, un registre d'informations concernant tous les accords contractuels relatifs à l'utilisation des services TIC fournis par des prestataires de services TIC tiers. Les accords contractuels visés au premier alinéa sont documentés de manière appropriée, en distinguant ceux qui couvrent les services TIC soutenant des fonctions critiques ou importantes de ceux qui ne les couvrent pas. Les entités financières font rapport au moins une fois par an aux autorités compétentes sur le nombre de nouveaux accords relatifs à l'utilisation des services TIC, les catégories de prestataires de services TIC tiers, le type d'accords contractuels et les services et fonctions TIC qui sont fournis. Les entités financières mettent à la disposition de l'autorité compétente, à sa demande, le registre complet d'informations ou, sur demande, des sections spécifiques de ce registre, ainsi que toute information jugée nécessaire pour permettre une surveillance efficace de l'entité financière. Les entités financières informent l'autorité compétente en temps utile de tout accord contractuel prévu concernant l'utilisation de services TIC à l'appui de fonctions critiques ou importantes, ainsi que lorsqu'une fonction est devenue critique ou importante.	Avec Prevalent, vous pouvez créer un inventaire centralisé des tiers en important des fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et des tâches de flux de travail associées. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire. Dans le cadre de ce processus, Prevalent crée des profils complets de fournisseurs qui contiennent toutes les preuves documentaires relatives à la tierce partie, ainsi que des données démographiques, les 4e parties, les scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Cela ajoute le contexte nécessaire aux processus d'audit. En outre, Prevalent quantifie les risques inhérents pour tous les fournisseurs afin de les classer efficacement, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer la portée des évaluations continues. Les critères utilisés pour calculer les risques inhérents à la hiérarchisation des fournisseurs sont les suivants : L'importance de la performance et des opérations de l'entreprise. Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent. Interaction avec des données protégées, des données clients ou des systèmes en contact avec la clientèle. Une partie du processus de hiérarchisation consiste à identifier les fournisseurs de quatrième et de Nième rang dans votre écosystème de fournisseurs, car les dépendances critiques peuvent avoir un impact sur les décisions de hiérarchisation. Avec Prevalent, vous pouvez procéder à une évaluation de vos fournisseurs à l'aide d'un questionnaire ou analyser passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues qui pourraient exposer votre organisation à des risques.
28 (5). Les entités financières ne peuvent conclure des accords contractuels avec des prestataires de services TIC tiers que s'ils respectent les normes de sécurité de l'information appropriées. Lorsque ces accords contractuels concernent des fonctions critiques ou importantes, les entités financières prennent dûment en considération, avant de conclure les accords, l'utilisation, par les prestataires de services TIC tiers, des normes de sécurité de l'information les plus récentes et de la plus haute qualité. 28 (6). Dans l'exercice des droits d'accès, d'inspection et d'audit sur le prestataire de services TIC tiers, les entités financières prédéterminent, sur la base d'une approche fondée sur le risque, la fréquence des audits et des inspections ainsi que les domaines à auditer en adhérant à des normes d'audit communément admises, conformément à toute instruction prudentielle sur l'utilisation et l'incorporation de ces normes d'audit. Lorsque les accords contractuels conclus avec des prestataires de services TIC tiers sur l'utilisation des services TIC impliquent une grande complexité technique, l'entité financière vérifie que les auditeurs, qu'ils soient internes ou externes, ou un groupe d'auditeurs, possèdent les compétences et les connaissances appropriées pour réaliser efficacement les audits et les évaluations concernés.	Tirez parti d'une évaluation des risques normalisée dans la plate-forme Prevalent , par exemple une évaluation basée sur la norme ISO 27001 pour déterminer l'adhésion aux principes clés de gestion des risques des tiers. L'automatisation des flux de travail, la gestion des tâches et les capacités d'examen automatisé des preuves pour évaluer les scores de risque simplifient le processus. Compléter les évaluations périodiques des risques fondées sur des questionnaires par un suivi et une analyse continus des menaces externes pesant sur les tiers à l'aide de Prevalent. Dans ce cadre, Prevalent surveille l'internet et le dark web pour détecter les menaces et les vulnérabilités de cyber . Les sources de surveillance comprennent : Forums criminels, pages en oignon, forums d'accès spéciaux du dark web, flux de menaces et sites de collage d'informations d'identification divulguées - ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités. Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde. Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, l'établissement de rapports, les initiatives de remédiation et de réponse et de simplifier les audits. Une fois que toutes les données d'évaluation et de surveillance sont mises en corrélation dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci. Attribuez des responsables et assurez le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise. Il est important de suggérer des mesures correctives pour les contrôles fournisseurs à faible maturité qui dépassent l'appétence au risque de l'organisation. Prevalent comprend des recommandations de mesures correctives intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos fournisseurs traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.
28 (7). Les entités financières veillent à ce que les dispositions contractuelles relatives à l'utilisation des services TIC puissent être résiliées dans l'une ou l'autre des circonstances suivantes : (a) violation importante par le prestataire de services TIC tiers des lois, réglementations ou conditions contractuelles applicables ; (b) les circonstances identifiées tout au long de la surveillance du risque lié aux TIC pour des tiers qui sont considérées comme susceptibles d'altérer l'exécution des fonctions fournies dans le cadre de l'accord contractuel, y compris les changements importants qui affectent l'accord ou la situation du prestataire de services TIC pour des tiers ; (c) les faiblesses avérées du prestataire de services TIC tiers en ce qui concerne sa gestion globale des risques liés aux TIC et, en particulier, la manière dont il assure la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, qu'il s'agisse de données à caractère personnel ou autrement sensibles, ou de données non personnelles ; (d) lorsque l'autorité compétente n'est plus en mesure de surveiller efficacement l'entité financière en raison des conditions ou des circonstances liées à l'accord contractuel concerné. 28 (8). Pour les services TIC soutenant des fonctions critiques ou importantes, les entités financières mettent en place des stratégies de sortie. Les stratégies de sortie prennent en compte les risques qui peuvent apparaître au niveau des fournisseurs de services TIC tiers, en particulier une éventuelle défaillance de leur part, une détérioration de la qualité des services TIC fournis, toute perturbation des activités due à une fourniture inappropriée ou défaillante des services TIC ou tout risque important lié au déploiement approprié et continu du service TIC concerné, ou la résiliation des accords contractuels avec les fournisseurs de services TIC tiers dans l'une quelconque des circonstances énumérées au paragraphe 7. Les entités financières doivent s'assurer qu'elles sont en mesure de mettre fin aux accords contractuels sans : (a) la perturbation de leurs activités commerciales, (b) limiter le respect des exigences réglementaires, (c) l' atteinte à la continuité et à la qualité des services fournis aux clients. Les plans de sortie sont complets, documentés et, conformément aux critères énoncés à l'article 4, paragraphe 2, suffisamment testés et réexaminés périodiquement. Les entités financières identifient des solutions alternatives et élaborent des plans de transition leur permettant de retirer les services TIC contractuels et les données correspondantes du prestataire de services TIC tiers et de les transférer de manière sûre et intégrale à d'autres prestataires ou de les réincorporer en interne. Les entités financières mettent en place des mesures d'urgence appropriées pour assurer la continuité de leurs activités dans les circonstances visées au premier alinéa.	Avec Prevalent, vous pouvez automatiser l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation. Programmer des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées. Procéder à l'évaluation des contrats afin d'en déterminer l'état d'avancement. Exploiter les enquêtes et les flux de travail pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, etc. Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats. Analyser les documents pour confirmer que les critères clés sont pris en compte. Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils en matière de remédiation. Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les réglementations et les cadres.
28 (9) et 28 (10) sont des dispositions spécifiques pour les autorités de contrôle et le comité mixte.
Article 29 : Évaluation préliminaire du risque de concentration des TIC au niveau de l'entité
29 (1). Lorsqu'elles procèdent à l'identification et à l'évaluation des risques visées à l'article 28, paragraphe 4, point c), les entités financières prennent également en considération le fait que la conclusion envisagée d'un accord contractuel relatif à des services TIC prenant en charge des fonctions critiques ou importantes conduirait à l'une des situations suivantes : (a) la passation d'un contrat avec un fournisseur de services TIC tiers qui n'est pas facilement substituable ; ou (b) avoir mis en place de multiples accords contractuels relatifs à la fourniture de services TIC soutenant des fonctions critiques ou importantes avec le même prestataire de services TIC tiers ou avec des prestataires de services TIC tiers étroitement liés. Les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires de services TIC tiers, en tenant compte de l'adéquation des solutions envisagées avec les besoins et les objectifs de l'entreprise définis dans leur stratégie de résilience numérique, et de la manière dont elles y répondent.	Si un autre tiers est nécessaire en raison d'une non-conformité, d'un score de risque plus élevé ou d'une utilisation excessive et concentrée, Prevalent fournit des réseaux d'évaluations des risques des tiers, normalisés sur la base d'un cadre sectoriel commun, afin de déterminer un remplaçant adéquat. Nos bibliothèques d'évaluation des risques à la demande permettent d'accéder à des dizaines de milliers d'évaluations réalisées et vérifiées, ainsi qu'à des preuves à l'appui, et peuvent servir de répertoire de nouveaux tiers potentiels qui ont déjà été contrôlés au regard de lignes directrices rigoureuses en matière de sécurité des TIC.
29 (2). Lorsque les dispositions contractuelles relatives à l'utilisation de services TIC soutenant des fonctions critiques ou importantes prévoient la possibilité qu'un prestataire de services TIC tiers sous-traite des services TIC soutenant une fonction critique ou importante à d'autres prestataires de services TIC tiers, les entités financières mettent en balance les avantages et les risques qui peuvent découler de cette sous-traitance, en particulier dans le cas d'un sous-traitant TIC établi dans un pays tiers. Lorsque les accords contractuels concernent des services TIC soutenant des fonctions critiques ou importantes, les entités financières doivent dûment prendre en compte les dispositions de la loi sur l'insolvabilité qui s'appliqueraient en cas de faillite du fournisseur de services TIC tiers, ainsi que toute contrainte qui pourrait survenir en ce qui concerne la récupération urgente des données de l'entité financière. Lorsque des arrangements contractuels relatifs à l'utilisation de services TIC soutenant des fonctions critiques ou importantes sont conclus avec un prestataire de services TIC tiers établi dans un pays tiers, les entités financières prennent également en compte, outre les considérations visées au deuxième alinéa, le respect des règles de l'Union en matière de protection des données et l'application effective de la loi dans ce pays tiers. Lorsque les dispositions contractuelles relatives à l'utilisation de services TIC soutenant des fonctions critiques ou importantes prévoient la sous-traitance, les entités financières évaluent si et comment des chaînes de sous-traitance potentiellement longues ou complexes peuvent avoir une incidence sur leur capacité à contrôler pleinement les fonctions sous-traitées et sur la capacité de l'autorité compétente à superviser efficacement l'entité financière à cet égard.	Avec Prevalent, vous pouvez identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de tiers. Procédez à une évaluation de vos fournisseurs à l'aide d'un questionnaire ou analysez passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues et les flux d'informations susceptibles d'exposer votre organisation à des risques. Exploitez ensuite les dispositions contractuelles telles que le droit à l'audit pour étendre l'évaluation des risques à ces quatrième et énième parties.
Article 30 : Principales dispositions contractuelles
30 (1). Les droits et obligations de l'entité financière et du prestataire de services TIC tiers sont clairement répartis et consignés par écrit. Le contrat complet inclut les accords de niveau de service et est consigné dans un document écrit qui est mis à la disposition des parties sur papier ou dans un document dans un autre format téléchargeable, durable et accessible. 30 (2). Les dispositions contractuelles relatives à l'utilisation des services TIC comprennent au moins les éléments suivants : (a) une description claire et complète de toutes les fonctions et de tous les services TIC à fournir par le prestataire de services TIC tiers, indiquant si la sous-traitance d'un service TIC soutenant une fonction critique ou importante, ou des parties importantes de ce service, est autorisée et, si tel est le cas, les conditions applicables à cette sous-traitance ; (b) les lieux, à savoir les régions ou les pays, où les fonctions et les services TIC contractés ou sous-traités doivent être fournis et où les données doivent être traitées, y compris le lieu de stockage, et l'obligation pour le prestataire de services TIC tiers de notifier à l'avance à l'entité financière s'il envisage de changer ces lieux ; (c) les dispositions relatives à la disponibilité, à l'authenticité, à l'intégrité et à la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel ; (d) des dispositions visant à garantir l'accès, la récupération et la restitution dans un format facilement accessible des données à caractère personnel et non personnel traitées par l'entité financière en cas d'insolvabilité, de résolution ou de cessation des activités commerciales du fournisseur de services TIC tiers, ou en cas de résiliation des accords contractuels ; (e) les descriptions des niveaux de service, y compris leurs mises à jour et leurs révisions ; (f) l'obligation pour le prestataire de services TIC tiers de fournir une assistance à l'entité financière sans coût supplémentaire, ou à un coût déterminé ex ante, lorsqu'un incident TIC lié au service TIC fourni à l'entité financière se produit ; (g) l'obligation pour le prestataire de services TIC tiers de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l'entité financière, y compris les personnes désignées par elles ; (h) les droits de résiliation et les délais de préavis minimums correspondants pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution ; (i) les conditions de participation des prestataires de services TIC tiers aux programmes de sensibilisation à la sécurité des TIC et à la formation à la résilience opérationnelle numérique des entités financières, conformément à l'article 13, paragraphe 6. 30 (3). Les dispositions contractuelles relatives à l'utilisation des services TIC à l'appui de fonctions critiques ou importantes comprennent, outre les éléments visés au paragraphe 2, au moins les éléments suivants : (a) des descriptions complètes des niveaux de service, y compris leurs mises à jour et leurs révisions, avec des objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre à l'entité financière de contrôler efficacement les services TIC et de prendre des mesures correctives appropriées, sans retard injustifié, lorsque les niveaux de service convenus ne sont pas respectés ; (b) les délais de notification et les obligations d'information du prestataire de services TIC tiers à l'égard de l'entité financière, y compris la notification de tout développement susceptible d'avoir un impact significatif sur la capacité du prestataire de services TIC tiers à fournir efficacement les services TIC soutenant les fonctions critiques ou importantes conformément aux niveaux de service convenus ; (c) l'obligation pour le prestataire de services TIC tiers de mettre en œuvre et de tester des plans d'urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui assurent un niveau de sécurité approprié pour la fourniture de services par l'entité financière, conformément à son cadre réglementaire ; (d) l'obligation pour le prestataire de services TIC tiers de participer et de coopérer pleinement au TLPT de l'entité financière, tel que visé aux articles 26 et 27 ; (e) le droit de contrôler, en permanence, les performances du prestataire de services TIC tiers, ce qui implique ce qui suit : (i) des droits d'accès, d'inspection et d'audit sans restriction par l'entité financière, ou un tiers désigné, et par l'autorité compétente, ainsi que le droit de prendre des copies des documents pertinents sur place s'ils sont essentiels aux opérations du prestataire de services TIC tiers, dont l'exercice effectif n'est pas entravé ou limité par d'autres dispositions contractuelles ou politiques de mise en œuvre ; (ii) le droit de convenir d'autres niveaux d'assurance si les droits d'autres clients sont affectés ; (iii) l'obligation pour le prestataire de services TIC tiers de coopérer pleinement lors des inspections et audits sur place effectués par les autorités compétentes, le contrôleur principal, l'entité financière ou un tiers désigné ; et (iv) l'obligation de fournir des détails sur la portée, les procédures à suivre et la fréquence de ces inspections et audits ; (f) les stratégies de sortie, en particulier la mise en place d'une période de transition obligatoire et adéquate : (i) pendant laquelle le prestataire de services TIC tiers continuera à fournir les fonctions respectives, ou les services TIC, en vue de réduire le risque de perturbation au sein de l'entité financière ou d'assurer sa résolution et sa restructuration efficaces ; (ii) permettant à l'entité financière de migrer vers un autre prestataire de services TIC tiers ou de passer à des solutions internes en fonction de la complexité du service fourni. Par dérogation au point e), le prestataire de services TIC tiers et l'entité financière qui est une micro-entreprise peuvent convenir que les droits d'accès, d'inspection et d'audit de l'entité financière peuvent être délégués à un tiers indépendant, désigné par le prestataire de services TIC tiers, et que l'entité financière est en mesure de demander à tout moment au tiers des informations et des assurances sur les performances du prestataire de services TIC tiers. 30 (4). Lors de la négociation d'accords contractuels, les entités financières et les prestataires de services TIC tiers envisagent l'utilisation de clauses contractuelles types élaborées par les autorités publiques pour des services spécifiques.	Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les principales fonctionnalités sont les suivantes : Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles. Des fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats. Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats. Discussion centralisée des contrats et suivi des commentaires. Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès. Suivi du contrôle des versions qui permet de modifier les contrats et les documents hors ligne. Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification. Évaluez en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation à l'aide de la plateforme Prevalent . Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.
30 (5). Comprend des dispositions spécifiques pour les autorités de contrôle et le comité mixte.

Exigence DORA

Meilleure pratique correspondante en matière de gestion des risques pour les tiers

Article 28 : Principes généraux

28 (1). Les entités financières gèrent le risque lié aux TIC pour les tiers comme une composante à part entière du risque lié aux TIC au sein de leur cadre de gestion du risque lié aux TIC tel que visé à l'article 6, paragraphe 1, et conformément aux principes suivants
visé à l'article 6, paragraphe 1, et conformément aux principes suivants :

(a) les entités financières qui ont mis en place
des arrangements contractuels pour l'utilisation de services TIC dans le cadre de leurs activités commerciales restent, à tout moment, pleinement responsables du respect et de l'exécution de toutes les obligations qui leur incombent en matière de TIC.
du respect et de l'exécution de toutes les obligations
obligations au titre du présent règlement et de la législation applicable en matière de services financiers
applicable en matière de services financiers ;

(b) la gestion par les entités financières du risque de tiers lié aux TIC
est mise en œuvre à la lumière du principe de proportionnalité, en tenant compte
principe de proportionnalité, en tenant compte

(i) la nature, l'échelle, la complexité et l'importance des dépendances liées aux TIC,

(ii) les risques découlant d'accords contractuels
contractuels relatifs à l'utilisation des services TIC
conclus avec des prestataires de services TIC tiers,
en tenant compte de la criticité ou de l'importance
du service, du processus ou de la fonction concerné(e), et de l'impact potentiel sur la continuité et la disponibilité des services et activités financiers, à la date de clôture de l'exercice.
disponibilité des services et activités financiers, au niveau
au niveau individuel et au niveau du groupe.

28 (2). Dans le cadre de leur gestion des risques liés aux TIC, les entités financières autres que les entités visées à l'article 16, paragraphe 1, premier alinéa, et autres que les micro-entreprises, adoptent et réexaminent régulièrement une stratégie relative aux risques liés aux TIC pour les tiers, en tenant compte, le cas échéant, de la stratégie multi-fournisseurs visée à l'article 6, paragraphe 9. La stratégie relative au risque TIC de tiers comprend une politique d'utilisation des services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires de services TIC de tiers et s'applique sur une base individuelle et, le cas échéant, sur une base sous-consolidée et consolidée. L'organe de direction, sur la base d'une évaluation du profil de risque global de l'entité financière ainsi que de l'échelle et de la complexité des services commerciaux, réexamine régulièrement les risques identifiés en ce qui concerne les accords contractuels relatifs à l'utilisation de services TIC soutenant des fonctions critiques ou importantes.

Prevalent collabore avec votre équipe pour définir et mettre en œuvre des stratégies, des processus et des solutions de TPRM dans le contexte de votre approche globale de la gestion des risques, pour sélectionner des questionnaires et des cadres d'évaluation des risques et pour optimiser votre programme afin de prendre en compte l'ensemble du cycle de vie des risques liés aux tiers, depuis le sourcing et la diligence raisonnable jusqu'à la résiliation et l'abandon des activités.

Dans le cadre de ce processus, Prevalent vous aide à définir :

Rôles et responsabilités clairement définis (par exemple, RACI).
Inventaires de tiers.
Une évaluation des risques et des seuils basés sur la tolérance au risque de votre organisation.
Évaluation et suivi. méthodologies basées sur la criticité des tiers.
Cartographie de la quatrième partie pour comprendre les risques dans l'écosystème étendu des fournisseurs.
Sources de données de contrôle continu (cyber, commerciales, réputationnelles et financières).
Indicateurs clés de performance (KPI) et indicateurs clés de risque (KRI).
Politiques, normes, systèmes et processus régissant la protection des données.
les exigences en matière de conformité et de rapports contractuels par rapport aux niveaux de service.
Exigences en matière de réponse aux incidents.
Rapports sur les risques et les parties prenantes internes.
Stratégies d'atténuation des risques et de remédiation.

28 (3). Dans le cadre de leur cadre de gestion des risques liés aux TIC, les entités financières tiennent et mettent à jour au niveau de l'entité, ainsi qu'aux niveaux sous-consolidé et consolidé, un registre d'informations concernant tous les accords contractuels relatifs à l'utilisation des services TIC fournis par des prestataires de services TIC tiers.
Les accords contractuels visés au premier alinéa sont documentés de manière appropriée, en distinguant ceux qui couvrent les services TIC soutenant des fonctions critiques ou importantes de ceux qui ne les couvrent pas.
Les entités financières font rapport au moins une fois par an aux autorités compétentes sur le nombre de nouveaux accords relatifs à l'utilisation des services TIC, les catégories de prestataires de services TIC tiers, le type d'accords contractuels et les services et fonctions TIC qui sont fournis.
Les entités financières mettent à la disposition de l'autorité compétente, à sa demande, le registre complet d'informations ou, sur demande, des sections spécifiques de ce registre, ainsi que toute information jugée nécessaire pour permettre une surveillance efficace de l'entité financière.
Les entités financières informent l'autorité compétente en temps utile de tout accord contractuel prévu concernant l'utilisation de services TIC à l'appui de fonctions critiques ou importantes, ainsi que lorsqu'une fonction est devenue critique ou importante.

Avec Prevalent, vous pouvez créer un inventaire centralisé des tiers en important des fournisseurs via un modèle de feuille de calcul ou via une connexion API à une solution d'approvisionnement existante. Les équipes de toute l'entreprise peuvent renseigner les détails clés des fournisseurs à l'aide d'un formulaire d'admission centralisé et des tâches de flux de travail associées. Tout le monde peut y accéder par le biais d'une invitation par courrier électronique, sans qu'aucune formation ou expertise en matière de solutions ne soit nécessaire.

Dans le cadre de ce processus, Prevalent crée des profils complets de fournisseurs qui contiennent toutes les preuves documentaires relatives à la tierce partie, ainsi que des données démographiques, les 4e parties, les scores ESG, des informations récentes sur les activités et la réputation, l'historique des violations de données et les performances financières récentes. Cela ajoute le contexte nécessaire aux processus d'audit.

En outre, Prevalent quantifie les risques inhérents pour tous les fournisseurs afin de les classer efficacement, de fixer des niveaux appropriés de diligence supplémentaire et de déterminer la portée des évaluations continues. Les critères utilisés pour calculer les risques inhérents à la hiérarchisation des fournisseurs sont les suivants :

L'importance de la performance et des opérations de l'entreprise.
Le(s) lieu(x) et les considérations juridiques ou réglementaires qui s'y rapportent.
Interaction avec des données protégées, des données clients ou des systèmes en contact avec la clientèle.

Une partie du processus de hiérarchisation consiste à identifier les fournisseurs de quatrième et de Nième rang dans votre écosystème de fournisseurs, car les dépendances critiques peuvent avoir un impact sur les décisions de hiérarchisation. Avec Prevalent, vous pouvez procéder à une évaluation de vos fournisseurs à l'aide d'un questionnaire ou analyser passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues qui pourraient exposer votre organisation à des risques.

28 (5). Les entités financières ne peuvent conclure des accords contractuels avec des prestataires de services TIC tiers que s'ils respectent les normes de sécurité de l'information appropriées. Lorsque ces accords contractuels concernent des fonctions critiques ou importantes, les entités financières prennent dûment en considération, avant de conclure les accords, l'utilisation, par les prestataires de services TIC tiers, des normes de sécurité de l'information les plus récentes et de la plus haute qualité.

28 (6). Dans l'exercice des droits d'accès, d'inspection et d'audit sur le prestataire de services TIC tiers, les entités financières prédéterminent, sur la base d'une approche fondée sur le risque, la fréquence des audits et des inspections ainsi que les domaines à auditer en adhérant à des normes d'audit communément admises, conformément à toute instruction prudentielle sur l'utilisation et l'incorporation de ces normes d'audit.
Lorsque les accords contractuels conclus avec des prestataires de services TIC tiers sur l'utilisation des services TIC impliquent une grande complexité technique, l'entité financière vérifie que les auditeurs, qu'ils soient internes ou externes, ou un groupe d'auditeurs, possèdent les compétences et les connaissances appropriées pour réaliser efficacement les audits et les évaluations concernés.

Tirez parti d'une évaluation des risques normalisée dans la plate-forme Prevalent , par exemple une évaluation basée sur la norme ISO 27001 pour déterminer l'adhésion aux principes clés de gestion des risques des tiers. L'automatisation des flux de travail, la gestion des tâches et les capacités d'examen automatisé des preuves pour évaluer les scores de risque simplifient le processus.

Compléter les évaluations périodiques des risques fondées sur des questionnaires par un suivi et une analyse continus des menaces externes pesant sur les tiers à l'aide de Prevalent. Dans ce cadre, Prevalent surveille l'internet et le dark web pour détecter les menaces et les vulnérabilités de cyber .

Les sources de surveillance comprennent :

Forums criminels, pages en oignon, forums d'accès spéciaux du dark web, flux de menaces et sites de collage d'informations d'identification divulguées - ainsi que plusieurs communautés de sécurité, dépôts de code et bases de données de vulnérabilités.
Bases de données contenant plusieurs années d'historique des violations de données pour des milliers d'entreprises dans le monde.

Toutes les données de surveillance doivent être mises en corrélation avec les résultats de l'évaluation et centralisées dans un registre des risques unifié pour chaque fournisseur, ce qui permet de rationaliser l'examen des risques, l'établissement de rapports, les initiatives de remédiation et de réponse et de simplifier les audits.
Une fois que toutes les données d'évaluation et de surveillance sont mises en corrélation dans un registre central des risques, Prevalent applique une notation et une hiérarchisation des risques selon un modèle de probabilité et d'impact. Ce modèle encadre les risques dans une matrice, ce qui vous permet de voir facilement les risques ayant le plus d'impact et de prioriser les efforts de remédiation sur ceux-ci. Attribuez des responsables et assurez le suivi des risques et des mesures correctives jusqu'à un niveau acceptable pour l'entreprise.
Il est important de suggérer des mesures correctives pour les contrôles fournisseurs à faible maturité qui dépassent l'appétence au risque de l'organisation. Prevalent comprend des recommandations de mesures correctives intégrées basées sur les résultats de l'évaluation des risques afin de garantir que vos fournisseurs traitent les risques de manière opportune et satisfaisante et qu'ils puissent fournir les preuves appropriées aux auditeurs.

28 (7). Les entités financières veillent à ce que les dispositions contractuelles relatives à l'utilisation des services TIC puissent être résiliées dans l'une ou l'autre des circonstances suivantes :

(a) violation importante par le prestataire de services TIC tiers des lois, réglementations ou conditions contractuelles applicables ;

(b) les circonstances identifiées tout au long de la surveillance du risque lié aux TIC pour des tiers qui sont considérées comme susceptibles d'altérer l'exécution des fonctions fournies dans le cadre de l'accord contractuel, y compris les changements importants qui affectent l'accord ou la situation du prestataire de services TIC pour des tiers ;

(c) les faiblesses avérées du prestataire de services TIC tiers en ce qui concerne sa gestion globale des risques liés aux TIC et, en particulier, la manière dont il assure la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, qu'il s'agisse de données à caractère personnel ou autrement sensibles, ou de données non personnelles ;

(d) lorsque l'autorité compétente n'est plus en mesure de surveiller efficacement l'entité financière en raison des conditions ou des circonstances liées à l'accord contractuel concerné.

28 (8). Pour les services TIC soutenant des fonctions critiques ou importantes, les entités financières mettent en place des stratégies de sortie. Les stratégies de sortie prennent en compte les risques qui peuvent apparaître au niveau des fournisseurs de services TIC tiers, en particulier une éventuelle défaillance de leur part, une détérioration de la qualité des services TIC fournis, toute perturbation des activités due à une fourniture inappropriée ou défaillante des services TIC ou tout risque important lié au déploiement approprié et continu du service TIC concerné, ou la résiliation des accords contractuels avec les fournisseurs de services TIC tiers dans l'une quelconque des circonstances énumérées au paragraphe 7.
Les entités financières doivent s'assurer qu'elles sont en mesure de mettre fin aux accords contractuels sans :

(a) la perturbation de leurs activités commerciales,

(b) limiter le respect des exigences réglementaires,

(c) l' atteinte à la continuité et à la qualité des services fournis aux clients.

Les plans de sortie sont complets, documentés et, conformément aux critères énoncés à l'article 4, paragraphe 2, suffisamment testés et réexaminés périodiquement.
Les entités financières identifient des solutions alternatives et élaborent des plans de transition leur permettant de retirer les services TIC contractuels et les données correspondantes du prestataire de services TIC tiers et de les transférer de manière sûre et intégrale à d'autres prestataires ou de les réincorporer en interne.
Les entités financières mettent en place des mesures d'urgence appropriées pour assurer la continuité de leurs activités dans les circonstances visées au premier alinéa.

Avec Prevalent, vous pouvez automatiser l'évaluation des contrats et les procédures d'externalisation afin de réduire le risque d'exposition post-contractuelle de votre organisation.

Programmer des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées.
Procéder à l'évaluation des contrats afin d'en déterminer l'état d'avancement.
Exploiter les enquêtes et les flux de travail pour établir des rapports sur l'accès au système, la destruction des données, la gestion de l'accès, le respect de toutes les lois pertinentes, les paiements finaux, etc.
Stockez et gérez de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats.
Analyser les documents pour confirmer que les critères clés sont pris en compte.
Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils en matière de remédiation.
Visualisez et répondez aux exigences de conformité en mettant automatiquement en correspondance les résultats de l'évaluation avec les réglementations et les cadres.

28 (9) et 28 (10) sont des dispositions spécifiques pour les autorités de contrôle et le comité mixte.

Article 29 : Évaluation préliminaire du risque de concentration des TIC au niveau de l'entité

29 (1). Lorsqu'elles procèdent à l'identification et à l'évaluation des risques visées à l'article 28, paragraphe 4, point c), les entités financières prennent également en considération le fait que la conclusion envisagée d'un accord contractuel relatif à des services TIC prenant en charge des fonctions critiques ou importantes conduirait à l'une des situations suivantes :

(a) la passation d'un contrat avec un fournisseur de services TIC tiers qui n'est pas facilement substituable ; ou

(b) avoir mis en place de multiples accords contractuels relatifs à la fourniture de services TIC soutenant des fonctions critiques ou importantes avec le même prestataire de services TIC tiers ou avec des prestataires de services TIC tiers étroitement liés.

Les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires de services TIC tiers, en tenant compte de l'adéquation des solutions envisagées avec les besoins et les objectifs de l'entreprise définis dans leur stratégie de résilience numérique, et de la manière dont elles y répondent.

Si un autre tiers est nécessaire en raison d'une non-conformité, d'un score de risque plus élevé ou d'une utilisation excessive et concentrée, Prevalent fournit des réseaux d'évaluations des risques des tiers, normalisés sur la base d'un cadre sectoriel commun, afin de déterminer un remplaçant adéquat.

Nos bibliothèques d'évaluation des risques à la demande permettent d'accéder à des dizaines de milliers d'évaluations réalisées et vérifiées, ainsi qu'à des preuves à l'appui, et peuvent servir de répertoire de nouveaux tiers potentiels qui ont déjà été contrôlés au regard de lignes directrices rigoureuses en matière de sécurité des TIC.

29 (2). Lorsque les dispositions contractuelles relatives à l'utilisation de services TIC soutenant des fonctions critiques ou importantes prévoient la possibilité qu'un prestataire de services TIC tiers sous-traite des services TIC soutenant une fonction critique ou importante à d'autres prestataires de services TIC tiers, les entités financières mettent en balance les avantages et les risques qui peuvent découler de cette sous-traitance, en particulier dans le cas d'un sous-traitant TIC établi dans un pays tiers.

Lorsque les accords contractuels concernent des services TIC soutenant des fonctions critiques ou importantes, les entités financières doivent dûment prendre en compte les dispositions de la loi sur l'insolvabilité qui s'appliqueraient en cas de faillite du fournisseur de services TIC tiers, ainsi que toute contrainte qui pourrait survenir en ce qui concerne la récupération urgente des données de l'entité financière.

Lorsque des arrangements contractuels relatifs à l'utilisation de services TIC soutenant des fonctions critiques ou importantes sont conclus avec un prestataire de services TIC tiers établi dans un pays tiers, les entités financières prennent également en compte, outre les considérations visées au deuxième alinéa, le respect des règles de l'Union en matière de protection des données et l'application effective de la loi dans ce pays tiers.

Lorsque les dispositions contractuelles relatives à l'utilisation de services TIC soutenant des fonctions critiques ou importantes prévoient la sous-traitance, les entités financières évaluent si et comment des chaînes de sous-traitance potentiellement longues ou complexes peuvent avoir une incidence sur leur capacité à contrôler pleinement les fonctions sous-traitées et sur la capacité de l'autorité compétente à superviser efficacement l'entité financière à cet égard.

Avec Prevalent, vous pouvez identifier les relations de sous-traitance de quatrième et de Nième partie dans votre écosystème de tiers. Procédez à une évaluation de vos fournisseurs à l'aide d'un questionnaire ou analysez passivement l'infrastructure publique du fournisseur. La carte des relations qui en résulte décrit les dépendances étendues et les flux d'informations susceptibles d'exposer votre organisation à des risques.
Exploitez ensuite les dispositions contractuelles telles que le droit à l'audit pour étendre l'évaluation des risques à ces quatrième et énième parties.

Article 30 : Principales dispositions contractuelles

30 (1). Les droits et obligations de l'entité financière et du prestataire de services TIC tiers sont clairement répartis et consignés par écrit. Le contrat complet inclut les accords de niveau de service et est consigné dans un document écrit qui est mis à la disposition des parties sur papier ou dans un document dans un autre format téléchargeable, durable et accessible.

30 (2). Les dispositions contractuelles relatives à l'utilisation des services TIC comprennent au moins les éléments suivants :

(a) une description claire et complète de toutes les fonctions et de tous les services TIC à fournir par le prestataire de services TIC tiers, indiquant si la sous-traitance d'un service TIC soutenant une fonction critique ou importante, ou des parties importantes de ce service, est autorisée et, si tel est le cas, les conditions applicables à cette sous-traitance ;

(b) les lieux, à savoir les régions ou les pays, où les fonctions et les services TIC contractés ou sous-traités doivent être fournis et où les données doivent être traitées, y compris le lieu de stockage, et l'obligation pour le prestataire de services TIC tiers de notifier à l'avance à l'entité financière s'il envisage de changer ces lieux ;

(c) les dispositions relatives à la disponibilité, à l'authenticité, à l'intégrité et à la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel ;

(d) des dispositions visant à garantir l'accès, la récupération et la restitution dans un format facilement accessible des données à caractère personnel et non personnel traitées par l'entité financière en cas d'insolvabilité, de résolution ou de cessation des activités commerciales du fournisseur de services TIC tiers, ou en cas de résiliation des accords contractuels ;

(e) les descriptions des niveaux de service, y compris leurs mises à jour et leurs révisions ;

(f) l'obligation pour le prestataire de services TIC tiers de fournir une assistance à l'entité financière sans coût supplémentaire, ou à un coût déterminé ex ante, lorsqu'un incident TIC lié au service TIC fourni à l'entité financière se produit ;
(g) l'obligation pour le prestataire de services TIC tiers de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l'entité financière, y compris les personnes désignées par elles ;

(h) les droits de résiliation et les délais de préavis minimums correspondants pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution ;

(i) les conditions de participation des prestataires de services TIC tiers aux programmes de sensibilisation à la sécurité des TIC et à la formation à la résilience opérationnelle numérique des entités financières, conformément à l'article 13, paragraphe 6.

30 (3). Les dispositions contractuelles relatives à l'utilisation des services TIC à l'appui de fonctions critiques ou importantes comprennent, outre les éléments visés au paragraphe 2, au moins les éléments suivants :

(a) des descriptions complètes des niveaux de service, y compris leurs mises à jour et leurs révisions, avec des objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre à l'entité financière de contrôler efficacement les services TIC et de prendre des mesures correctives appropriées, sans retard injustifié, lorsque les niveaux de service convenus ne sont pas respectés ;

(b) les délais de notification et les obligations d'information du prestataire de services TIC tiers à l'égard de l'entité financière, y compris la notification de tout développement susceptible d'avoir un impact significatif sur la capacité du prestataire de services TIC tiers à fournir efficacement les services TIC soutenant les fonctions critiques ou importantes conformément aux niveaux de service convenus ;

(c) l'obligation pour le prestataire de services TIC tiers de mettre en œuvre et de tester des plans d'urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui assurent un niveau de sécurité approprié pour la fourniture de services par l'entité financière, conformément à son cadre réglementaire ;

(d) l'obligation pour le prestataire de services TIC tiers de participer et de coopérer pleinement au TLPT de l'entité financière, tel que visé aux articles 26 et 27 ;

(e) le droit de contrôler, en permanence, les performances du prestataire de services TIC tiers, ce qui implique ce qui suit :

(i) des droits d'accès, d'inspection et d'audit sans restriction par l'entité financière, ou un tiers désigné, et par l'autorité compétente, ainsi que le droit de prendre des copies des documents pertinents sur place s'ils sont essentiels aux opérations du prestataire de services TIC tiers, dont l'exercice effectif n'est pas entravé ou limité par d'autres dispositions contractuelles ou politiques de mise en œuvre ;

(ii) le droit de convenir d'autres niveaux d'assurance si les droits d'autres clients sont affectés ;

(iii) l'obligation pour le prestataire de services TIC tiers de coopérer pleinement lors des inspections et audits sur place effectués par les autorités compétentes, le contrôleur principal, l'entité financière ou un tiers désigné ; et

(iv) l'obligation de fournir des détails sur la portée, les procédures à suivre et la fréquence de ces inspections et audits ;

(f) les stratégies de sortie, en particulier la mise en place d'une période de transition obligatoire et adéquate :

(i) pendant laquelle le prestataire de services TIC tiers continuera à fournir les fonctions respectives, ou les services TIC, en vue de réduire le risque de perturbation au sein de l'entité financière ou d'assurer sa résolution et sa restructuration efficaces ;
(ii) permettant à l'entité financière de migrer vers un autre prestataire de services TIC tiers ou de passer à des solutions internes en fonction de la complexité du service fourni.
Par dérogation au point e), le prestataire de services TIC tiers et l'entité financière qui est une micro-entreprise peuvent convenir que les droits d'accès, d'inspection et d'audit de l'entité financière peuvent être délégués à un tiers indépendant, désigné par le prestataire de services TIC tiers, et que l'entité financière est en mesure de demander à tout moment au tiers des informations et des assurances sur les performances du prestataire de services TIC tiers.

30 (4). Lors de la négociation d'accords contractuels, les entités financières et les prestataires de services TIC tiers envisagent l'utilisation de clauses contractuelles types élaborées par les autorités publiques pour des services spécifiques.

Prevalent centralise la distribution, la discussion, la conservation et la révision des contrats avec les fournisseurs afin d'automatiser le cycle de vie des contrats et de garantir l'application des clauses clés. Les principales fonctionnalités sont les suivantes :

Suivi centralisé de tous les contrats et de leurs attributs, tels que le type, les dates clés, la valeur, les rappels et le statut, avec des vues personnalisées et basées sur les rôles.
Des fonctionnalités de flux de travail (basées sur l'utilisateur ou le type de contrat) pour automatiser le cycle de vie de la gestion des contrats.
Des rappels automatisés et des avis de retard pour rationaliser l'examen des contrats.
Discussion centralisée des contrats et suivi des commentaires.
Stockage des contrats et des documents avec des autorisations basées sur les rôles et des pistes d'audit de tous les accès.
Suivi du contrôle des versions qui permet de modifier les contrats et les documents hors ligne.
Permissions basées sur les rôles qui permettent la répartition des tâches, l'accès aux contrats et l'accès à la lecture, à l'écriture et à la modification.

Évaluez en permanence l'efficacité de votre programme TPRM en fonction de l'évolution des besoins et des priorités de l'entreprise en mesurant les indicateurs clés de performance (KPI) et les indicateurs clés de risque (KRI) des fournisseurs tiers tout au long du cycle de vie de la relation à l'aide de la plateforme Prevalent .

Grâce à cette capacité, vous pouvez vous assurer que des responsabilités claires et des clauses de droit à l'audit sont énoncées dans le contrat du fournisseur, et que les accords de niveau de service font l'objet d'un suivi et sont gérés en conséquence.

30 (5). Comprend des dispositions spécifiques pour les autorités de contrôle et le comité mixte.

Ressources disponibles

Article de blog
Comment satisfaire aux exigences de l'Autorité bancaire européenne en matière de risques liés aux tiers ?

Les lignes directrices de l'ABE définissent les dispositions de gouvernance interne que les établissements de crédit, de paiement et de monnaie électronique...
Article de blog
Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Atténuer les risques de confidentialité et se conformer aux exigences du GDPR en évaluant les contrôles de protection des données des tiers avec ces...
Article de blog
Loi européenne sur la résilience opérationnelle numérique (DORA) et gestion des risques liés aux tiers

La mise en conformité étant obligatoire d'ici janvier 2025, le moment est venu pour les organisations d'examiner leurs...

Prêt pour une démonstration ?
Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
Demander une démo

Conformité à la loi européenne sur la résilience opérationnelle numérique

Conditions applicables

Comment satisfaire aux exigences de l'Autorité bancaire européenne en matière de risques liés aux tiers ?

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Loi européenne sur la résilience opérationnelle numérique (DORA) et gestion des risques liés aux tiers