Le registre d'information recense tous vos accords contractuels avec des prestataires tiers de TIC. C'est une obligation centrale de DORA, encadrée par l'article 28(3) et l'ITS 2024/2956.
Le registre d'information est un inventaire structuré de tous les accords contractuels relatifs à l'utilisation de services TIC fournis par des prestataires tiers. Il constitue l'une des obligations clés du pilier « gestion du risque lié aux prestataires tiers de TIC » de DORA.
Prévu par l'article 28, paragraphe 3 du règlement (UE) 2022/2554, il doit être tenu et mis à jour au niveau de l'entité, au niveau sous-consolidé et au niveau consolidé. Il sert de socle à la surveillance du risque de concentration et à la désignation des prestataires critiques.
Le contenu et la structure du registre sont précisés par le règlement d'exécution (UE) 2024/2956. Cet ITS définit des modèles standardisés que toutes les entités financières de l'UE doivent utiliser, garantissant des déclarations comparables d'un État membre à l'autre.
Le registre doit couvrir l'ensemble des prestataires tiers de TIC, qu'ils soutiennent ou non des fonctions critiques ou importantes, ainsi que les sous-traitants en chaîne. Pour le contexte des normes, voir notre page RTS et ITS.
L'ITS 2024/2956 organise le registre autour de 15 modèles interconnectés, regroupés par thématique :
Ces modèles sont liés par des identifiants communs, ce qui impose une grande rigueur dans la qualité des données. Notre constructeur de registre d'information automatise ces liens.
Le registre doit être transmis aux autorités compétentes au format xBRL-CSV, un format structuré et lisible par machine. Cette exigence technique implique une normalisation stricte des données.
Plusieurs champs reposent sur des vocabulaires contrôlés :
Toute valeur non conforme entraîne le rejet du dépôt : la validation préalable est indispensable.
Les entités financières doivent transmettre leur registre d'information à leur autorité compétente nationale sur une base annuelle. La transmission intervient généralement autour du 30 avril, selon le calendrier fixé chaque année par les autorités.
Le registre doit refléter la situation à une date de référence donnée. Il convient d'anticiper la collecte et la consolidation des données bien en amont, car la qualité et la cohérence des informations conditionnent l'acceptation du dépôt.
Les registres d'information collectés à l'échelle de l'UE alimentent directement le processus de désignation des prestataires tiers critiques de TIC (PSTIC / CTPP). Les autorités européennes de surveillance s'appuient sur ces données agrégées pour identifier les prestataires dont la défaillance pourrait affecter la stabilité du système financier.
Une fois désignés, ces prestataires sont placés sous la surveillance directe d'un superviseur principal européen. La qualité de votre registre contribue donc à la cartographie systémique du risque de concentration.
Construire votre registre d'information →
Toutes les entités financières soumises à DORA doivent tenir un registre d'information sur leurs accords avec les prestataires tiers de TIC. Il doit être maintenu au niveau individuel, sous-consolidé et consolidé, conformément à l'article 28(3).
La transmission est annuelle et intervient généralement autour du 30 avril, selon le calendrier précis fixé par les autorités compétentes. Le registre reflète la situation à une date de référence définie.
L'ITS (UE) 2024/2956 impose le format xBRL-CSV. Plusieurs champs reposent sur des vocabulaires contrôlés, notamment les codes LEI, les codes pays ISO 3166 et les codes devise ISO 4217. Une validation préalable évite le rejet du dépôt.
Le registre s'appuie sur 15 modèles interconnectés couvrant l'entité déclarante, les accords contractuels, les prestataires, leurs sous-traitants, les fonctions soutenues et leur criticité, ainsi que les stratégies de sortie.
Les registres collectés dans toute l'UE permettent aux autorités européennes de surveillance d'identifier et de désigner les prestataires tiers critiques de TIC (PSTIC). Ces prestataires sont ensuite placés sous surveillance directe européenne.
Cette page est une aide professionnelle, pas un conseil juridique. · Version anglaise