Pack de documents complets concernant les NTR & ITS liés à DORA

Les exigences du DORA reposent sur cinq piliers principaux : la gestion des risques liés aux TIC, la notification des incidents liés aux TIC, les tests de résilience opérationnelle numérique, la gestion des risques liés aux TIC pour les tiers, et le partage d'informations et de renseignements.

Les normes techniques réglementaires (NTR) et les normes techniques de mise en oeuvre (ITS) fournissent aux entreprises une aide concrète pour l'application des exigences et des dispositions du règlement DORA. Les NTR sont des normes techniques contraignantes. Elles précisent les exigences énoncées dans le règlement DORA et déterminent la manière dont elles doivent être mises en œuvre dans la pratique. Les ITS complètent les NTR en spécifiant des instructions de mise en œuvre détaillées et les processus nécessaires pour répondre aux exigences des NTR. Tout comme les NTR, le respect des ITS est obligatoire.

Les autorités européennes de surveillance (AES) sont responsables de l'élaboration des deux normes. Elles se composent de l'Autorité bancaire européenne (ABE), de l'Autorité européenne des marchés financiers (AEMF) et de l'Autorité européenne des assurances et des pensions professionnelles (AEAPP).

Les NTR et ITS suivants ont été publiés jusqu'à présent :

• ITS relatives aux modèles de registre d'information (article 28.9)
• NTR sur le cadre de gestion des risques liés aux TIC (Art. 15)
• NTR sur le cadre simplifié de gestion des risques liés aux TIC (Art. 16)
• NTR sur les critères de classification des incidents majeurs liés aux TIC (Art. 18.3)
• NTR relatives à la politique sur les services liés aux TIC (Art. 28.10)
• ITS relatives aux formulaires, les modèles et les procédures pour la notification des incidents majeurs liés aux TIC (article 20, point b)).
• NTR sur la spécification du contenu et des délais de notification des incidents majeurs liés aux TIC (Art. 20.a)
• NTR relatives aux tests de pénétration menés en fonction de la menace (article 26.11)
• RTS relatives aux éléments à prendre en compte lors de la sous-traitance de fonctions critiques ou importantes (article 30.5)
• RTS relatives aux informations relatives à la conduite de la surveillance (article 41)

Registre d'information : "Les informations rassemblées qui prouvent aux autorités que l'organisation est en conformité avec la loi DORA."

Le ROI nécessite des informations sur : Les fonctions commerciales (fonctions critiques que les entités financières fournissent), les services liés aux TIC (systèmes) qui soutiennent ces fonctions commerciales, les prestataires de services liés TIC (fournisseurs) qui fournissent les services, y compris leur chaîne d'approvisionnement (sous-fournisseurs), les accords contractuels (contrats).

• Fonctions commerciales (fonctions essentielles assurées par les entités financières)
• Services liés aux TIC (systèmes) qui supportent ces fonctions commerciales
• les fournisseurs de services liés aux TIC qui fournissent les services
• Y compris leur chaîne d'approvisionnement (sous-fournisseurs)
• Accords contractuels (contrats)

Le format du rapport est divisé en 15 modèles Excel basés sur la structure du registre d'information. Vous trouverez les modèles à remplir ici : Accéder au modèle par Document sur le ROI