Blog

Registre DORA : obligations réglementaires et reporting

  • Auteur/autrice de la publication :
  • Post category:dora

L’entrée en application du règlement européen DORA (Digital Operational Resilience Act) marque un tournant majeur pour la gestion des risques liés aux technologies de l’information dans le secteur financier européen. Parmi les nouvelles obligations qui touchent les acteurs français, la tenue d’un registre d’information relatif aux prestataires ICT critiques et aux relations contractuelles occupe une place centrale. En France, cette exigence s’articule étroitement avec le dispositif de supervision de l’Autorité des marchés financiers (AMF) et son portail de reporting réglementaire ROSA.

Contact Us
DORA RoI Solution

Le registre d’information DORA : un outil de transparence et de maîtrise des risques

Le règlement DORA impose aux entités financières la création d’un registre exhaustif recensant :

Les prestataires de services TIC (ICT providers)

Les institutions doivent identifier tous leurs fournisseurs impliqués dans la fourniture de services numériques critiques, notamment :

  • services cloud ;
  • services de traitement ou stockage de données ;
  • services de cybersécurité ;
  • outils logiciels essentiels au fonctionnement opérationnel.

La nature des services confiés

Le registre doit détailler :

  • le périmètre fonctionnel couvert ;
  • le degré de criticité ;
  • les dépendances techniques ;
  • les volumes et flux de données concernés.

Les risques identifiés et les mesures de maîtrise

Chaque relation doit être associée à :

  • une analyse des risques opérationnels et cyber ;
  • les garanties contractuelles ;
  • les SLA et clauses de continuité ;
  • les mesures d’atténuation prévues.

Les informations nécessaires au pilotage et au reporting

Le registre constitue un outil de supervision interne, mais aussi un support essentiel pour répondre aux obligations de notification à l’autorité compétente.

Le rôle de l’AMF dans la mise en œuvre du registre DORA

En France, la supervision des acteurs de marchés financiers incombe à l’AMF, qui devient l’autorité de référence pour la conformité DORA des entités qui relèvent de son périmètre :

  • sociétés de gestion de portefeuille ;
  • CIF (sous certaines conditions) ;
  • entreprises d’investissement ;
  • marchés réglementés ;
  • infrastructures de marché.

L’AMF est responsable de :

  • vérifier la tenue du registre ;
  • contrôler la cohérence et la complétude des relations identifiées ;
  • analyser les risques liés à la concentration des prestataires ICT ;
  • collecter les notifications d’incidents majeurs.

Pour faciliter cette supervision, l’AMF s’appuie sur son portail déclaratif ROSA.

ROSA : la plateforme pivot pour le reporting DORA en France

ROSA (Registre des Organismes et des Services d’Activité) est la plateforme centralisée utilisée par l’AMF pour collecter et gérer les informations réglementaires des entités financières. Dans le cadre de DORA, ROSA joue un double rôle :

Collecte des informations issues du registre DORA

Les entités supervisées doivent transmettre via ROSA :

  • la liste de leurs prestataires ICT critiques ;
  • la classification des services ;
  • les évolutions annuelles ou événementielles (nouveau fournisseur, modification contractuelle critique, etc.) ;
  • les incidents opérationnels majeurs, lorsque ceux-ci relèvent de la compétence de l’AMF.

Harmonisation et supervision centralisée

ROSA permet à l’AMF :

  • de centraliser les données pour toutes les entités supervisées ;
  • de croiser les informations afin d’identifier les risques de concentration (par ex. dépendance excessive à un fournisseur cloud particulier) ;
  • d’alimenter les analyses transversales au niveau européen, notamment dans le cadre de l’ESMA et du CERD (Centre européen de résilience opérationnelle numérique).

Les enjeux opérationnels pour les entités supervisées

Le couplage entre registre DORA et reporting ROSA implique pour les acteurs financiers plusieurs défis :

Gouvernance interne

Les institutions doivent mettre en place une gouvernance claire pour :

  • collecter les informations auprès des équipes IT, juridiques et achats ;
  • maintenir le registre à jour ;
  • structurer les indicateurs de criticité et de risque.

Intégration technique

Selon la taille et la maturité de l’organisation, la tenue du registre peut nécessiter :

  • un outil dédié de gestion des tiers (TPRM/ITPM) ;
  • un système documentaire robuste ;
  • des interfaces automatisées avec ROSA si mises à disposition.

Conformité et audit

Le registre doit répondre aux exigences de :

  • traçabilité ;
  • exhaustivité ;
  • actualisation régulière ;
  • cohérence avec les politiques internes de gestion des risques.

Une étape clé vers la résilience numérique en Europe

Le registre d’information imposé par DORA constitue une innovation majeure pour la surveillance de la chaîne de valeur numérique des acteurs financiers. En France, grâce à ROSA, l’AMF dispose d’un outil puissant pour analyser, consolider et superviser les risques liés aux prestataires technologiques. Les entités doivent désormais intégrer ce registre au cœur de leur stratégie de gouvernance IT, afin de répondre aux exigences européennes et renforcer leur résilience opérationnelle.

LIENS

AMF : https://www.amf-france.org/fr/actualites-publications/dossiers-thematiques/dora

CSSF: https://www.cssf.lu/fr/tic-et-cyber-risque-pour-les-entites-dora/