Registre d’Informations DORA

Le registre d’Informations DORA génère automatiquement des fichiers xBRL-CSV zippés dans des dossiers. XBRL est un format requis par DORA et utilisé pour le reporting réglementaire dans le secteur financier. Il est adapté aux exigences spécifiques de reporting du registre des fournisseurs TIC, comme l’exige la réglementation DORA.

Le registre d’Informations DORA facilite considérablement la conformité aux Normes Techniques de Réglementation (RTS) et aux Normes Techniques d’Exécution (ITS) dans le cadre de la loi sur la résilience opérationnelle numérique (DORA) de plusieurs manières clés :

Gestion complète de l’information :
L’outil fournit un cadre structuré pour maintenir le registre des informations requis par DORA. Il s’aligne avec les ITS qui établissent des modèles pour le registre des informations, couvrant les arrangements contractuels avec les fournisseurs tiers de services TIC (TPP) à différents niveaux. Cela garantit que les entités financières peuvent gérer et rendre compte efficacement de leurs prestataires de services TIC, soutenant ainsi la conformité à l’article 28(9) de DORA.

Alignement du cadre de gestion des risques TIC :
le registre d’informations DORA intègre les exigences décrites dans les RTS sur le cadre de gestion des risques TIC. Il aide les entités financières à mettre en œuvre et à maintenir un système de gestion des risques TIC robuste, couvrant les aspects de protection, de prévention, de détection et de réponse. Cet alignement garantit que les utilisateurs de l’outil sont bien positionnés pour répondre aux obligations de gestion des risques TIC de DORA.

Classification et rapport des incidents :
L’outil intègre les critères de classification des incidents liés aux TIC tels que spécifiés dans les RTS. Il aide les entités financières à identifier et à signaler les incidents majeurs et les importantes menaces cybernétiques, garantissant ainsi la conformité aux exigences de rapport d’incidents de DORA. Cette fonctionnalité s’aligne avec les RTS et ITS sur le rapport des incidents majeurs, aidant les institutions à remplir leurs obligations de manière efficace.

Gestion des risques des tiers :
Le register d’informations DORA facilite la conformité avec les RTS spécifiant la politique sur les services TIC soutenant les fonctions critiques ou importantes effectuées par les TPP TIC. Il aide les entités financières à gérer le cycle de vie des arrangements avec des tiers, en se concentrant sur les fonctions critiques ou importantes. Cette fonctionnalité est cruciale pour répondre aux exigences de DORA en matière de gestion des risques des tiers.

Processus de conformité automatisés :
L’outil automatise de nombreux aspects de la conformité à DORA, y compris la génération de rapports et la maintenance du registre d’informations. Cette automatisation aide les entités financières à répondre aux exigences détaillées des ITS sur les modèles standard pour le registre des informations, garantissant précision et exhaustivité dans les rapports de conformité.

Capacité à s’adapter aux évolutions réglementaires :
En tant qu’outil dédié à la conformité DORA, ce registre d’informations est conçu pour être mis à jour en fonction de l’évolution des exigences réglementaires. Cela garantit que les entités financières utilisant l’outil peuvent s’adapter à tout changement dans les RTS ou ITS sans perturbation significative de leurs processus de conformité.

Soutien aux activités de surveillance :
L’outil aide les entités financières à se préparer et à répondre aux activités de surveillance. Il s’aligne avec les RTS sur l’harmonisation des conditions permettant la conduite des activités de surveillance, aidant les institutions à maintenir la documentation et les processus nécessaires pour les inspections réglementaires.

Conformité simplifiée pour les petites entités :
Pour les petites entités financières, le registre d’informations DORA offre des fonctionnalités qui s’alignent sur le cadre simplifié de gestion des risques TIC décrit dans les RTS. Cela garantit que toutes les tailles d’institutions financières peuvent utiliser efficacement l’outil pour répondre aux exigences de DORA.

Similitudes :

Objectif : Les deux outils visent à aider les entités financières à maintenir et à mettre à jour les registres d’informations relatives à leurs arrangements contractuels avec des prestataires de services TIC tiers, comme l’exige DORA.

Concentration sur la conformité : Ils répondent aux exigences de gestion des risques des tiers TIC de DORA, en particulier la nécessité de tenir des registres complets des prestataires de services TIC.

Alignement réglementaire : Les deux outils sont conçus pour répondre aux exigences définies par les autorités européennes de surveillance (ESA) pour la conformité à DORA.

Différences :

Format et fonctionnalité :

Modèle Excel de l’ESA : Un format de feuille de calcul standardisé fourni par les autorités réglementaires pour la saisie et le rapport de données de base.

Le registre d’Informations DORA : Une application web plus sophistiquée offrant des fonctionnalités avancées au-delà de la simple saisie de données.

Interface utilisateur :

Modèle Excel de l’ESA : Utilise une interface de feuille de calcul familière, qui peut être moins intuitive pour les relations de données complexes.

Le registre d’Informations DORA : Dispose d’une interface intuitive conçue spécifiquement pour naviguer dans les dépendances complexes entre les prestataires TIC.

Visualisation des données :

Modèle Excel de l’ESA : Limité aux capacités standard de création de graphiques et de tableaux croisés dynamiques d’Excel.

Le registre d’Informations DORA : Offre une visualisation avancée des dépendances, permettant aux utilisateurs d’explorer plus efficacement le réseau de relations entre les prestataires TIC.

Automatisation :

Modèle Excel de l’ESA : Nécessite une saisie et une mise à jour manuelles des données.

Le registre d’Informations DORA : Fournit une automatisation intégrée pour les mises à jour de données et la génération de rapports, réduisant le risque d’erreurs manuelles.

Fonctionnalités de collaboration :

Modèle Excel de l’ESA : Fonctionnalités de collaboration limitées inhérentes aux logiciels de feuille de calcul.

Le registre d’Informations DORA : Inclut un module de gestion des tâches pour répartir les responsabilités entre les membres de l’équipe, améliorant les efforts de conformité collaborative.

Vérifications de conformité :

Modèle Excel de l’ESA : Vérification manuelle de l’exhaustivité et de la conformité des données.

Le registre d’Informations DORA : Vérifications automatisées de l’exhaustivité des rapports et de la conformité aux exigences réglementaires.

Évolutivité :

Modèle Excel de l’ESA : Peut devenir difficile à gérer pour les grandes organisations avec des réseaux de prestataires TIC complexes.

Le registre d’Informations DORA : Conçu pour mieux gérer les écosystèmes complexes et étendus des prestataires TIC.

Génération de rapports :

Modèle Excel de l’ESA : Il faut formater manuellement et extraire les données pertinentes pour les rapports.

Le registre d’Informations DORA : Offre une génération de rapports en un clic dans les formats requis, pré-validés pour l’exactitude et la conformité.

Mises à jour réglementaires :

Modèle Excel de l’ESA : Peut nécessiter des mises à jour manuelles à mesure que les exigences réglementaires évoluent.

Le registre d’Informations DORA : Susceptible de recevoir des mises à jour régulières pour s’aligner sur les évolutions réglementaires, garantissant une conformité continue.

Coût et accessibilité :

Modèle Excel de l’ESA : Disponible gratuitement auprès des autorités réglementaires, nécessitant uniquement un logiciel de feuille de calcul.

Le registre d’Informations DORA : une solution commerciale qui peut impliquer des coûts de licence mais offre des fonctionnalités plus complètes.

En conclusion, bien que les deux outils servent à la conformité à DORA, le registre d’Informations DORA offre des fonctionnalités plus avancées, une automatisation et des interfaces conviviales par rapport à la fonctionnalité de base du modèle Excel de l’ESA. Le choix entre eux dépendra de la taille de l’entité financière, de la complexité de son réseau de prestataires TIC et du niveau de sophistication requis pour gérer la conformité DORA.

Le registre d’Informations DORA soutient considérablement le cadre DORA grâce à plusieurs fonctionnalités clés :

1. Gestion complète de l’information :
   L’outil sert de plateforme automatisée et autoguidée qui couvre toutes les informations requises par le registre d’informations DORA. Cela inclut les arrangements contractuels avec les fournisseurs TIC, la structure organisationnelle et la cartographie des fonctions commerciales. Il minimise efficacement la charge de travail manuelle liée à la création et à la maintenance du registre.
   
2. Intégrité des données et automatisation :
   l’interface du registre d’informations DORA représente les ensembles de données et les relations entre eux, garantissant la conformité avec le large éventail d’informations à déclarer. Elle automatise les relations et le transfert d’informations, permettant aux modifications effectuées une seule fois dans les dictionnaires de se répercuter sur tous les objets. Cette automatisation s’étend aux détails des contrats, aux dates et aux informations de contact, qui sont transférés des enregistrements initiaux à tous les enregistrements y liés.
   
3. Orientation pour la conformité à DORA :
   L’outil guide les utilisateurs à travers le processus de conformité à DORA lié aux fournisseurs de services TIC. Il organise des informations critiques telles que :
   • Structure organisationnelle (entités et leurs relations)
   • Actifs financiers et leurs emplacements
   • Activités commerciales (fonctions commerciales)
   • Réseau de soutien (fournisseurs et contrats)
   • Dépenses liées à ces soutiens
   • Vulnérabilités potentielles (fonctions critiques)
   • Tolérance au risque (paramètres de seuil pour les fonctions critiques)
     
4. Rapport aux autorités :
   le registre d’Informations DORA facilite l’examen et la distribution des contrats des prestataires de services tiers. Il s’intègre aux systèmes existants de gestion des risques d’entreprise et de cybersécurité, ainsi qu’aux canaux réglementaires. L’outil peut gérer le volume de relations avec des tiers dans les institutions financières et générer des rapports finaux avec la structure et le contenu requis en un seul clic.
   
5. Gestion des risques des tiers :
   L’outil automatise les processus de gestion des risques des tiers, en commençant par des questionnaires conformes à DORA, en passant par la classification des fournisseurs avec des codes spéciaux, jusqu’à la génération de rapports pour l’autorité de supervision.
   
6. Mesures de sécurité :
   le registre d’Informations DORA met en œuvre des mesures de sécurité robustes, notamment :
   • Instances individuelles pour les clients avec des bases de données séparées
   • Authentification à deux facteurs
   • Politiques de mot de passe personnalisables
   • Expiration automatique des sessions utilisateur inactives
   • Instantanés et sauvegardes de données
   • Tests de pénétration réguliers et examens du code source
   • Accès SSO Azure AD
     
7. Classification des fournisseurs TIC :
   L’outil prend en charge la classification des fournisseurs TIC selon les directives DORA, y compris les catégories telles que les fournisseurs soutenant des fonctions critiques ou essentielles et les 19 catégories spécifiques de services TIC identifiées dans l’annexe 3 du RTS 85.
   
   
8. Gestion de la chaîne d’approvisionnement :
   Les utilisateurs peuvent étendre la chaîne d’approvisionnement initiale définie par le principal fournisseur du contrat en ajoutant des fournisseurs secondaires et supplémentaires, abordant ainsi la gestion des fournisseurs de quatrième et N-ième parties.

En fournissant ces fonctionnalités, le registre d’Informations DORA soutient efficacement les entités financières dans la satisfaction des exigences du cadre DORA, garantissant la conformité, améliorant la résilience opérationnelle et rationalisant la gestion des risques liés aux TIC et des relations avec les tiers.

Nous avons rencontré des avis selon lesquels le registre devrait contenir un nombre limité de détails relatifs aux fournisseurs tiers de services TIC :

• Fournisseurs et leur chaîne d’approvisionnement
• Entités au sein du groupe
• Fonctions commerciales
• Contrats, liant les informations mentionnées ci-dessus.

Cependant, il y a beaucoup plus d’informations requises qui sont liées à :
1. Une liste complète des entités et de leurs relations au sein du groupe.

2. Une cartographie détaillée des contrats, y compris les entités impliquées dans la signature, la distribution et l’utilisation des services, catégorisées par fournisseur, type de service et fonction commerciale concernée.

3. Une cartographie étendue des chaînes d’approvisionnement des fournisseurs.

4. Une évaluation de la criticité des fonctions commerciales de chaque entité et une validation de la pertinence du fournisseur TIC.

Le registre d’informations DORA effectue toutes les opérations de reporting automatiquement.

Chaque rapport contenant des données commerciales est automatiquement extrait dans un fichier CSV séparé, complété par les fichiers de métadonnées requis. L’ensemble du rapport est organisé dans une structure de dossiers spécifiée, et il est prend un nom spécifique lorsqu’il est compressé dans un fichier ZIP.

Si l’autorité offre une telle possibilité, nous mettrons en œuvre l’intégration avec les systèmes de soumission de rapports.

Au début de 2025, le registre DORA sera amélioré avec de nouvelles fonctionnalités.

Création du nouveau registre dans l’application basée sur le rapport selon les spécifications du régulateur et importation des informations dans le registre (métriques des contrats, listes de fournisseurs) à partir d’autres référentiels, basées sur des modèles téléchargeables directement depuis l’application.

• Instances individuelles pour les clients individuels (y compris des bases de données séparées pour les clients).
• Utilisateur et mot de passe individuels de l’utilisateur de l’application, protection supplémentaire optionnelle pour l’instance de l’application.
• Connexion utilisateur de l’application à deux facteurs.
• Possibilité de définir une politique de mot de passe (y compris la longueur du mot de passe, les exigences pour les types de caractères, les périodes de validité, le nombre de tentatives de connexion autorisées).
• Expiration automatique des sessions utilisateur inactives.
• Gestion des permissions des utilisateurs de l’application par groupes de permissions.
• Extraits de données effectués sur demande par un utilisateur autorisé.
• Tests automatiques du code source.
• Processus de révision et d’optimisation du code source.
• Surveillance de la mise à jour des bibliothèques et composants utilisés.
• Tests de pénétration de l’application effectués périodiquement par des entités externes spécialisées.
• Connexions multi-facteurs au panneau d’hébergement de l’application.
• Sauvegardes, au niveau de l’hébergement de l’application.
• Basé sur l’infrastructure GCP, fournie par l’Opérateur National du Cloud, situé dans l’UE.
• Accès SSO Azure AD.

Les fournisseurs doivent être classés selon les directives détaillées dans le JC 2023 85, qui inclut la documentation complète du registre d’informations. Cette norme technique d’application indique plusieurs catégories selon lesquelles les fournisseurs TIC doivent être catégorisés. Celles-ci incluent des catégories telles que les fournisseurs soutenant des fonctions critiques ou essentielles et les 19 catégories spécifiques de services TIC identifiées dans l’annexe 3 du RTS 85. Les fournisseurs intra-groupe, qui sont répertoriés dans le tableau RT.02.03, couvrant les accords intra-groupe et les relations avec les fournisseurs hors groupe, doivent également être inclus dans le processus de classification.

Les utilisateurs peuvent développer la chaîne d’approvisionnement initiale définie par le fournisseur principal du contrat en y ajoutant des fournisseurs secondaires et supplémentaires.

Si vous avez commencé à créer un registre dans Excel, le transfert vers le registre d’Informations DORA nécessite de saisir manuellement les données sur les arrangements contractuels avec les fournisseurs. Cependant, la saisie manuelle est beaucoup plus rapide car les données saisies sur les fournisseurs TIC sont automatiquement complétées dans tous les ensembles de données, par exemple : les données relatives aux contrats, aux chaînes d’approvisionnement, aux signataires et à de nombreux autres points. En transférant l’enregistrement des informations vers l’outil, vous vérifiez les erreurs. Enfin, vous gagnez du temps en générant automatiquement des rapports.

Oui, veuillez fixer un entretien avec notre consultant.

Tous les prix figurant dans la liste de prix sont des prix nets, tant pour les plans mensuels que pour les plans annuels. C’est-à-dire qu’ils doivent être majorés de la taxe sur la valeur ajoutée (TVA) due.