Registre Information DORA - Exporter le RoI en 1 clic

Table of Contents

Solution de registre DORA de Fund XP

Fund XP propose une solution complète pour aider les entités financières à produire efficacement le registre DORA des informations requises par les autorités financières.

Fund XP simplifie ce processus en rationalisant la génération du registre dans le format XBRL JSON/CSV ZIP requis.

Il est important de noter que l’AES ne fournira pas d’outils ou de scripts pour la génération du registre, comme cela a été le cas lors de l’exercice à blanc. Fund XP offre une solution fiable pour garantir que votre registre est correctement formaté et prêt à être soumis sans effort manuel supplémentaire.

Comment cela fonctionne-t-il ?

En utilisant un modèle Excel, Fund XP intègre des fonctions avancées pour assurer la production, la validation et la vérification des données. Notre solution automatise le processus de compilation et de vérification des informations critiques, réduisant considérablement les erreurs manuelles et améliorant l’efficacité. Comme les rapports sont annuels et que les données restent relativement stables, notre objectif est de fournir une solution simple, efficace et rentable qui évite toute complexité inutile tout en fournissant des résultats fiables. Tout est fait localement sur votre système, ce qui vous assure un contrôle total sur vos données et vos processus.

La solution est multi-juridictionnelle et entièrement conforme aux juridictions qui exigent l’enregistrement en format CSV/JSON.

Contactez-nous !

Qu’est-ce que le registre d’information Dora ?

Le règlement d’exécution (UE) 2024/2956 de la Commission, adopté le 29 novembre 2024, établit les normes techniques d’exécution visées à l’article 28, paragraphe 9, du règlement (UE) 2022/2554 (DORA). Sa fonction principale est d’établir un ensemble de modèles standard pour le registre d’informations que les entités financières doivent tenir concernant leur utilisation de services TIC auprès de fournisseurs tiers.

Les informations collectées par le biais de ce registre normalisé sont conçues pour servir des objectifs stratégiques multiples, comme le souligne le considérant (1) :

–Gestion interne des risques liés aux TIC : Fournir aux entités financières une vue d’ensemble structurée de leurs dépendances aux TIC pour leur propre évaluation et gestion des risques.

–Supervision : Permettre aux autorités compétentes de superviser efficacement la gestion par les entités financières des risques liés aux TIC pour les tiers.

–Supervision des fournisseurs essentiels : Fournir au Superviseur principal les informations nécessaires pour mettre en place et mener à bien la supervision des fournisseurs tiers de TIC désignés comme critiques.

–Désignation des fournisseurs essentiels : Soutenir les autorités européennes de surveillance (EBA, EIOPA, ESMA) dans leur processus annuel de désignation des fournisseurs de services TIC tiers critiques pour le secteur financier.

Témoignage Payconiq

PANDOO TESTIMONIAL

PANDOO DORA register solution testimonial

Qui est tenu de tenir ce registre d’informations, et à quels niveaux ?

Le règlement s’applique à toutes les entités financières relevant du champ d’application du DORA. Pour les entités financières qui font partie d’un groupe, l’entreprise mère est responsable de la détermination du périmètre de consolidation du registre. Le cadre permet aux groupes de tenir un registre unique et unifié à un niveau consolidé ou sous-consolidé. Toutefois, ce registre unique doit être structuré de manière à permettre à chaque entité financière du groupe de remplir ses propres obligations de déclaration.

Quel est l’objectif principal de cette nouvelle réglementation européenne ?

Ce règlement, le règlement d’exécution (UE) 2024/2956 de la Commission, vise à établir des modèles standard pour un registre d’informations concernant les accords contractuels sur l’utilisation des services TIC fournis par des prestataires de services tiers au secteur financier. L’objectif principal est de renforcer la résilience opérationnelle numérique en fournissant des informations cruciales pour la gestion interne des risques liés aux TIC par les entités financières, la surveillance efficace par les autorités compétentes, la surveillance des fournisseurs tiers de TIC critiques et le processus de désignation annuelle des fournisseurs tiers de services TIC critiques par les autorités européennes de surveillance (AES).

Erreurs DORA : Guide des messages d’erreur du registre RdI

DORA errors : RoI Register Error Message Guidance

La transposition de DORA par le Luxembourg

Au Luxembourg, la DORA est directement applicable à partir de janvier 2025. La CSSF et la CAA sont désignées comme les autorités chargées de veiller au respect de la DORA. Des lois et règlements spécifiques, tels que la circulaire CSSF 24/847, sont déjà en place pour améliorer la déclaration des incidents et s’aligner sur le cadre de la DORA.

Quelles sont les entités financières qui entrent dans le champ d’application de la DORA ?

(a) Les établissements de crédit ;
(b) les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
(c) les prestataires de services d’information sur les comptes ;
(d) les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
(e) les entreprises d’investissement ;
(f) les prestataires de services liés aux crypto-actifs et les émetteurs de jetons référencés par des actifs ;
(g) les dépositaires centraux de titres
(h) les contreparties centrales ;
(i) les plates-formes de négociation
(j) les référentiels centraux ;
(k) les gestionnaires de fonds d’investissement alternatifs
(l) les sociétés de gestion
(m) les prestataires de services de communication de données
(n) les entreprises d’assurance et de réassurance
(o) les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance auxiliaires ;
(p) les institutions de retraite professionnelle
(q) les agences de notation de crédit
(r) les administrateurs d’indices de référence critiques ;
(s) les prestataires de services de crowdfunding ; et
(t) les référentiels centraux de titrisation

Qu’est-ce qu’un prestataire de services TIC direct ?

Un prestataire de services TIC tiers ou un prestataire de services TIC intragroupe qui a signé un accord contractuel avec :
(a) une entité financière pour fournir ses services TIC directement à cette entité financière ;
(b) une entité financière ou non financière pour fournir ses services à d’autres entités financières au sein du même groupe ;

Qu’est-ce qu’une chaîne d’approvisionnement en services TIC ?

Une séquence d’arrangements contractuels liés au service TIC fourni par le fournisseur direct de services TIC tiers à l’entité financière, en commençant par le fournisseur direct de services TIC tiers qui a un ou plusieurs autres fournisseurs de services TIC tiers comme contreparties (sous-traitants) ;

Contactez-nous !

Quelles sont les informations clés sur les services TIC et les fournisseurs tiers qui doivent figurer dans le registre ?

Le registre doit contenir des informations détaillées sur les services TIC et leurs fournisseurs. Cela comprend des informations générales sur l’entité financière qui tient le registre, des détails sur les entités du périmètre de consolidation et leurs succursales, ainsi que des informations générales et spécifiques sur les accords contractuels avec les fournisseurs directs de services TIC tiers. De manière cruciale, il doit également inclure des informations sur la chaîne d’approvisionnement des services TIC, en identifiant tous les fournisseurs directs de services TIC tiers et les sous-traitants qui soutiennent les fonctions critiques ou importantes. En outre, des détails sur l’identification des fonctions soutenues par les services TIC, les évaluations des risques de ces services (y compris la substituabilité et l’impact de l’interruption), et la terminologie interne utilisée par les entités financières doivent être fournis.

Quelles sont les exigences de base pour le registre d’information ?

Qualité et formatage des données

Le règlement met l’accent sur la qualité et la structure des données contenues dans le registre.

–Principes de qualité des données : Les entités financières doivent veiller à ce que les informations respectent six principes : exactitude, exhaustivité, cohérence, intégrité, uniformité et validité.

–Structure du modèle : Les modèles sont conçus comme des tableaux ouverts neutres sur le plan technologique, avec un nombre prédéfini de colonnes et un nombre indéfini de lignes, ce qui permet une certaine évolutivité. Cette conception est basée sur les leçons tirées des précédents exercices de collecte de données par les AES et les autorités compétentes.

–Clés relationnelles : Le système utilise quatre clés primaires pour créer une structure relationnelle reliant les données des différents modèles :

1. Le numéro de référence de l’accord contractuel.

2. Un identifiant pour les entités financières et les fournisseurs de TIC (LEI/EUID).

3. L’identifiant de la fonction.

4. Le type de service TIC.

Identification obligatoire des entités

Afin de garantir une identification cohérente et précise de toutes les parties, le règlement impose l’utilisation d’identifiants spécifiques pour les personnes morales.

–Entités financières : Identifiées par leur identifiant d’entité légale (LEI).

–Fournisseurs de services TIC tiers :

◦ Les prestataires établis dans l’Union doivent être identifiés par leur LEI ou leur identifiant unique européen (EUID), et les deux s’ils sont disponibles.

◦ Les prestataires établis dans des pays tiers doivent être identifiés par leur LEI uniquement.

◦ Les personnes physiques agissant à titre professionnel peuvent utiliser d’autres codes d’identification (par exemple, le numéro de passeport, le numéro d’identité national).

Cette exigence s’étend à tous les sous-traitants qui soutiennent des fonctions critiques ou importantes.

Quel type d’information doit être fourni ?

Code du modèle	Nom du modèle	Brève description
B_01.01	Entité qui tient le registre d’informations	Ce modèle identifie l’entité qui tient et met à jour le registre d’informations au niveau de l’entité, au niveau sous-consolidé et au niveau consolidé. d’informations au niveau de l’entité, au niveau sous-consolidé et au niveau consolidé, respectivement.
B_01.02	Liste des entités faisant partie du périmètre de consolidation	Ce modèle identifie toutes les entités appartenant au groupe. Lorsque l’entité responsable de la tenue et de la mise à jour du registre d’informations n’appartient pas à un groupe, seule cette entité financière doit être incluse dans la liste. d’informations n’appartient pas à un groupe, seule cette entité financière doit être dans ce modèle.
B_01.03	Liste des succursales	Ce modèle identifie les succursales des entités financières visées au modèle B_01.02.
B_02.01	Arrangements contractuels – informations général	Ce modèle dresse la liste de tous les accords contractuels conclus avec des prestataires de services directs TIC. Pour chaque accord contractuel avec un fournisseur direct de services TIC tiers l’entité financière qui tient le registre d’informations doit attribuer un « numéro de référence de l’accord contractuel » unique pour identifier sans ambiguïté l’accord contractuel lui-même.
B_02.02	Arrangements contractuels – informations spécifiques	Ce modèle fournit des détails sur chaque accord contractuel énuméré dans le modèle B_02.01 en ce qui concerne listé dans le modèle B_02.01 en ce qui concerne : (a) les services TIC inclus dans le champ d’application de l’accord contractuel ; (b) les fonctions des entités financières soutenues par ces services TIC ; (c) d’autres informations importantes en relation avec les services TIC spécifiques spécifiques fournis (par exemple, le délai de préavis, la loi régissant l’arrangement, etc.)
B_02.03	Liste des accords contractuels intra-groupe	Ce modèle identifie les liens entre les arrangements contractuels intra-groupe et les arrangements contractuels avec des tiers TIC. et les accords contractuels avec des prestataires de services TIC tiers qui ne font pas partie du groupe qui ne font pas partie du groupe en utilisant les numéros de référence contractuels lorsqu’ils font partie de la chaîne d’approvisionnement en services TIC. de référence contractuels lorsqu’ils font partie de la chaîne d’approvisionnement en services TIC.
B_03.01	Entités signant les arrangements contractuels pour recevoir le(s) service(s) ou au nom des des entités utilisant le(s) le(s) service(s) TIC	Ce modèle fournit des informations sur l’entité qui signe les arrangements contractuels avec le prestataire de services TIC tiers direct pour le(s) service(s) TIC. contractuels avec le fournisseur direct de services TIC tiers pour l’entité pour l’entité qui utilise les services TIC. Lorsque le registre d’informations est tenu et mis à jour au niveau de l’entité au niveau de l’entité, l’entité signataire de l’accord contractuel et l’entité qui utilise les services TIC est l’entité financière. l’entité qui utilise les services TIC est l’entité financière qui tient et met à jour le registre d’informations. registre d’informations. Dans le cadre de la sous-consolidation et de la consolidation, l’entité financière qui utilise les services TIC fournis n’est pas nécessairement l’entité l’entité signant l’accord contractuel avec les fournisseurs de services TIC tiers. fournisseurs de services TIC.
B_03.02	Fournisseurs de services TIC tiers TIC signant les arrangements contractuels pour la fourniture de service(s) dans le domaine des TIC	Ce modèle identifie tous les prestataires de services TIC tiers mentionnés dans le modèle B_05.01. dans le modèle B_05.01 qui signent les arrangements contractuels mentionnés dans le au modèle B_02.01 pour la fourniture de services TIC.
B_03.03	Entités signant les arrangements contractuels pour la fourniture de service(s) à d’autres entités dans le périmètre de consolidation	Ce modèle identifie toutes les entités mentionnées dans le modèle B_01.02 signant les arrangements contractuels mentionnés dans le modèle B_02.01 pour fournir des services TIC à d’autres entités du périmètre de consolidation.
B_04.01	Entités utilisant les services TIC	Ce modèle identifie toutes les entités qui utilisent les services TIC fournis par des prestataires de services TIC tiers et enregistrés dans le registre d’information. Les entités utilisant les services TIC sont soit les entités financières dans le champ d’application, soit les fournisseurs de services TIC intragroupe. financières concernées, soit les prestataires de services TIC intragroupes. Lorsque le registre d’informations est tenu et mis à jour au niveau de l’entité au niveau de l’entité, l’entité signataire de l’accord contractuel et l’entité qui utilise les services TIC sont les entités financières dans le champ d’application. l’entité qui utilise les services TIC sont l’entité financière qui tient le registre.
B_05.01	Fournisseurs de services TIC TIC	Ce modèle énumère et fournit des informations générales pour identifier : (a) les prestataires de services TIC tiers directs ; (b) les prestataires de services TIC intra-groupe ; (c) tous les sous-traitants inclus dans le modèle B_05.02 sur la chaîne d’approvisionnement des services TIC dans la chaîne d’approvisionnement ; (d) l’entreprise mère ultime des prestataires de services TIC tiers énumérés aux points (a), (b), (c) et (d). d) l’entreprise mère ultime des prestataires de services TIC tiers énumérés aux points a), b) et c).
B_05.02	Chaîne d’approvisionnement en services TIC	Ce modèle identifie et relie les prestataires de services TIC tiers qui font partie de la même chaîne d’approvisionnement en services TIC. Les entités financières doivent identifier et classer les fournisseurs de services TIC tiers pour chaque service TIC inclus dans chaque accord contractuel. Exemple : une entité financière a un accord contractuel avec un fournisseur de services TIC tiers (« fournisseur de services TIC tiers »). (« fournisseur de services TIC tiers X ») pour recevoir 2 services TIC spécifiques (« service TIC A » et « service TIC B ») et le fournisseur de services fait appel à un sous-traitant pour chaque service TIC inclus dans l’accord contractuel. service fait appel à un sous-traitant (« prestataire de services TIC tiers Y ») pour fournir l’un de ces services. Y ») pour fournir l’un de ces services (« service TIC B »).- En ce qui concerne le service TIC A, la chaîne d’approvisionnement en services TIC est composée En ce qui concerne le service TIC A, la chaîne d’approvisionnement en services TIC est composée d’un prestataire de services TIC tiers, le prestataire de services TIC tiers X. En ce qui concerne le service TIC A, la chaîne d’approvisionnement en services TIC est composée d’un fournisseur de services TIC tiers, le fournisseur de services TIC tiers X, qui sera classé numéro 1 dans le modèle. LE FOURNISSEUR DE SERVICES TIC X est le fournisseur direct de services TIC tiers. TIC. – En ce qui concerne le service TIC B, la chaîne d’approvisionnement des services TIC est composée de de deux fournisseurs de services TIC tiers : (a) le fournisseur de services TIC tiers X, qui sera classé numéro 1 dans le modèle. Le fournisseur de services TIC tiers X est le fournisseur direct de services TIC tiers. fournisseur de services TIC tiers direct. (b) Le fournisseur de services TIC tiers Y, qui sera classé numéro 2 dans le modèle. Le fournisseur de services TIC tiers Y est un sous-traitant. Tous les prestataires de services TIC tiers appartenant à la même chaîne d’approvisionnement en services TIC partagent le même « arrangement contractuel ». partagent le même « numéro de référence de l’accord contractuel numéro de référence de l’accord contractuel » tel que mentionné dans le modèle B_02.01 et le même type de services TIC
B_06.01	Identification des fonctions	Ce modèle identifie et fournit des informations sur les fonctions de l’entité financière qui utilise les services TIC. l’entité financière qui utilise les services TIC. Dans les informations à fournir dans ce modèle, les entités financières doivent inclure un identifiant unique, l' »identifiant de fonction », pour chaque combinaison du LEI, de l’activité autorisée et de la fonction de l’entité financière. Exemple : une entité financière (LEI : 21USLEIC20231109J3Z8) qui opère dans le cadre de deux activités autorisées (« activité A »). deux activités autorisées (« activité A » et « activité B ») se verra attribuer deux « identificateurs de fonction » uniques. identifiants de fonction » uniques pour la même fonction X (par exemple, les ventes) exécutée pour l’activité A et l’activité B, respectivement. L’identifiant de fonction sera F1 pour la combinaison « 21USLEIC20231109J3Z8 » « Activité A » et Fonction X » F2 pour la combinaison « 21USLEIC20231109J3Z8 » « Activité B » et « Fonction X ». Fonction X
B_07.01	Évaluations des services TIC de l’entreprise	Ce modèle capture les informations relatives à l’évaluation des risques des services TIC (par ex. des services TIC (par exemple la substituabilité, la date du dernier audit, etc. lorsque ces services TIC soutiennent une fonction critique ou importante ou une partie importante ou une partie importante de celle-ci.
B_99.01	Définitions des entités utilisant les services TIC TIC	Ce modèle capture les explications, les significations et les définitions internes à l’entité définitions de l’ensemble fermé d’indicateurs utilisés par l’entité financière dans le registre d’informations. Exemple : Dans le modèle B_07.01, l’entité financière doit fournir une une indication de l’impact de l’interruption des services TIC en utilisant un ensemble fermé d’options (faible, moyen, élevé). en utilisant un ensemble fermé d’options (faible, moyen, élevé). Dans le modèle B_99.01, l’entité financière l’entité financière doit préciser la signification de ces options.

Contactez-nous !

Comment les fournisseurs de services TIC tiers et leur position dans la chaîne d’approvisionnement sont-ils identifiés et suivis ?

Les entités financières doivent attribuer un « rang » à chaque fournisseur de services TIC tiers dans la chaîne d’approvisionnement des services TIC. Un rang de « 1 » est attribué aux prestataires de services TIC tiers directs qui ont un accord contractuel direct avec l’entité financière. Les sous-traitants reçoivent un rang supérieur à « 1 », les chiffres les plus bas indiquant une plus grande proximité avec l’entité financière dans la chaîne d’approvisionnement. Pour les personnes morales, des identifiants uniques tels que le Legal Entity Identifier (LEI) ou l’European Unique Identifier (EUID) sont obligatoires, tandis que les personnes physiques peuvent utiliser d’autres codes d’identification. Le registre établit également un lien spécifique entre les accords contractuels intragroupes et les accords avec des fournisseurs tiers externes afin de couvrir l’ensemble de la chaîne d’approvisionnement.

Quels sont les principes de qualité des données que les entités financières doivent respecter lors de la tenue du registre ?

Pour garantir la cohérence, l’harmonisation et la comparabilité des informations communiquées, les entités financières doivent respecter plusieurs principes de qualité des données. Il s’agit notamment de l’exactitude, de l’exhaustivité, de la cohérence, de l’intégrité, de l’uniformité et de la validité. Les informations doivent être régulièrement examinées et toute erreur ou divergence doit être rapidement corrigée. Pour les groupes, la cohérence entre les informations au niveau de l’entité, les informations sous-consolidées et les informations consolidées est également explicitement requise.

Quel type d’évaluation des risques les entités financières sont-elles tenues de réaliser et de communiquer en ce qui concerne les services TIC ?

Les entités financières doivent procéder à des évaluations des risques liés aux services TIC fournis par des tiers et en rendre compte, en particulier pour les services qui soutiennent des fonctions critiques ou importantes. Il s’agit notamment d’évaluer la nature, l’échelle, la complexité et l’importance des dépendances liées aux TIC, ainsi que les risques découlant des accords contractuels. Les informations spécifiques à recueillir comprennent la substituabilité du fournisseur de services TIC tiers, les raisons de la non-substituabilité ou de la grande complexité de la substitution, la date du dernier audit du fournisseur, l’existence de plans de sortie, la possibilité de réintégrer les services TIC contractuels et l’impact de l’interruption des services TIC. Ils doivent également évaluer si d’autres fournisseurs de services TIC tiers ont été identifiés.

Comment ce règlement aborde-t-il les complexités de la fourniture de services TIC intragroupe et de la sous-traitance ?

Le règlement prend spécifiquement en compte les fournisseurs de services TIC intragroupe et les chaînes de sous-traitance. Les entités financières doivent fournir des informations sur les accords contractuels conclus avec les prestataires de services intragroupe et les fournisseurs tiers de TIC, y compris les sous-traitants. Un modèle spécifique (B_02.03) permet de réconcilier les contrats intra-groupe avec les contrats impliquant des fournisseurs tiers de TIC externes lorsqu’ils font partie de la même chaîne d’approvisionnement en services TIC. Pour les services TIC soutenant des fonctions critiques ou importantes, les entités financières sont tenues d’enregistrer tous les sous-traitants qui soutiennent effectivement ces services. En outre, si un prestataire de services intragroupe fait appel à des sous-traitants, au moins le premier sous-traitant extra-groupe doit être enregistré, même si ses services ne sont pas considérés comme critiques ou importants.

Contactez-nous !

Quels sont les types d’entités financières couvertes par ce règlement et quelles sont les activités pertinentes pour leur déclaration ?

Le règlement s’applique à un large éventail d’entités financières, notamment les établissements de crédit, les établissements de paiement, les établissements de monnaie électronique, les entreprises d’investissement, les prestataires de services liés aux crypto-actifs, les dépositaires centraux de titres, les contreparties centrales, les plates-formes de négociation, les entreprises d’assurance et de réassurance et les agences de notation de crédit. Pour chaque type d’entité, une liste spécifique d’activités et de services sous licence est fournie à l’annexe II, qui est pertinente pour l’identification des fonctions (modèle B_06.01) au sein de leur organisation interne qui sont soutenues par des services TIC.

Glossaire des termes clés

Conseil des autorités de surveillance (CA) : L’organe directeur de chaque Autorité européenne de surveillance (AES), impliqué dans l’approbation des décisions clés telles que la désignation des prestataires tiers critiques (PTPC).
Autorité compétente (AC) : Les autorités nationales responsables de la surveillance des entités financières (EF) au sein d’un État membre. Elles coopèrent avec les AES dans le cadre de la surveillance DORA.
Fournisseur tiers critique (CTPP) : Un fournisseur de services tiers dans le domaine des technologies de l’information et de la communication (TIC) désigné comme critique par les autorités européennes de surveillance (AES) en raison de son impact systémique sur le secteur financier.
Digital Operational Resilience Act (DORA) : Un règlement de l’UE établissant un cadre global pour la gestion des risques liés aux TIC dans le secteur financier, y compris la surveillance des CTPP.
Autorité bancaire européenne (ABE) : L’une des trois autorités européennes de surveillance (AES) ayant des responsabilités de surveillance en vertu de la loi DORA, en particulier pour le secteur bancaire.
Autorité européenne des assurances et des pensions professionnelles (AEAPP) : L’une des trois autorités européennes de surveillance (AES) investies de responsabilités de surveillance en vertu de la loi DORA, en particulier pour le secteur de l’assurance et des pensions professionnelles.
Autorité européenne des marchés financiers (AEMF) : L’une des trois autorités européennes de surveillance (AES) investies de responsabilités de surveillance dans le cadre de la loi DORA, en particulier pour le secteur des valeurs mobilières et des marchés.
Autorités européennes de surveillance (AES) : L’ABE, l’EIOPA et l’AEMF, conjointement habilitées à superviser les PTPC à l’échelle paneuropéenne en vertu du DORA.
Entité financière (EF) : Une entité du secteur financier qui s’appuie sur des services TIC externes.
Enquêtes générales : Examens formels effectués par les superviseurs couvrant un ou plusieurs domaines de risque des CTPP, visant à recueillir des informations sur la manière dont les CTPP gèrent les risques.
Technologies de l’information et de la communication (TIC) : Technologies et services liés au traitement, au stockage et à la communication de l’information.
Inspections : Méthode de surveillance très intrusive impliquant des examens sur site ou hors site des locaux, des systèmes et des données des CTPP afin d’acquérir une compréhension approfondie des opérations commerciales, de la gestion des risques et des contrôles internes.
Comité mixte (CM) : Le comité intersectoriel le plus élevé des trois AES, chargé d’adopter les décisions pertinentes concernant la surveillance des CTPP, y compris leur désignation.
Équipes d’examen conjoint (JET) : Les équipes composées de personnel des AES et des autorités compétentes (AC) concernées qui assistent les superviseurs principaux (LO) dans la conduite des activités de supervision des DORA.
Réseau commun de supervision (JON) : Organe créé par les superviseurs pour coordonner la conduite des activités de supervision des CTPP et préparer les décisions et les actes à soumettre au Forum de supervision.
Joint Oversight Venture (JOV) : Une structure opérationnelle mise en place par les trois AES pour maximiser les synergies et assurer la cohérence des activités quotidiennes de supervision du DORA par le biais d’une approche intégrée intersectorielle.
Superviseur principal (LO) : L’autorité européenne de surveillance (AES) spécifique désignée pour mener les activités de surveillance d’un CTPP désigné.
Suivi régulier et continu : L’interaction continue entre les superviseurs et les CTPP, impliquant la collecte, l’analyse et l’évaluation systématiques d’informations en dehors d’enquêtes ou d’inspections spécifiques.
Forum de surveillance (FS) : Un comité permanent des AES dédié à la surveillance de la DORA, effectuant des travaux préparatoires pour les actes individuels et les recommandations collectives, et promouvant une approche cohérente du risque de tiers en matière de TIC.
Recommandations : Suggestions non contraignantes émises par les autorités de surveillance à l’intention des CTPP pour remédier aux lacunes identifiées dans des domaines d’évaluation spécifiques, généralement à l’issue d’un examen.
Demande d’information (RfI) : Outil utilisé par les autorités de surveillance pour demander des informations aux PTPC, soit par « simple demande », soit par « décision », sans lancer d’enquêtes ou d’inspections complètes.
Plan d’assainissement : Un plan fourni par un CTPP aux autorités de surveillance, décrivant les actions et les mesures qu’il a l’intention de prendre pour répondre aux conclusions et se conformer aux recommandations émises.

Liens utiles

Circulaire CAA LC25-01 : https://www.caa.lu/uploads/documents/files/LC25-01_FR.pdf

Site de la CSSF : https://www.cssf.lu/en/digital-operational-resilience-act-dora/

Page web de l’EIOPA : https://www.eiopa.europa.eu/digital-operational-resilience-act-dora_en

Page web de l’ABE : https://www.eba.europa.eu/activities/direct-supervision-and-oversight/digital-operational-resilience-act/preparation-dora-application

EUID : https://fund-xp.lu/euid-search/[/vc_column_text]