Les risques liés aux prestataires tiers de services TIC font partie intégrante du risque lié aux TIC. Ils doivent être pris en compte dans le cadre de gestion du risque lié aux TIC :
- les entités financières qui ont conclu des accords contractuels pour l’utilisation de services TIC dans le cadre de leurs activités restent à tout moment pleinement responsables du respect et de l’exécution de toutes les obligations découlant de DORA ;
- les entités financières gèrent les risques liés aux prestataires tiers de services TIC dans le respect du principe de proportionnalité.
Le principe de proportionnalité implique de prendre en compte :
- la nature, l’ampleur, la complexité et l’importance des relations de dépendance en matière de TIC ;
- les risques découlant des accords contractuels portant sur l’utilisation de services TIC conclus avec des prestataires tiers de services TIC, compte tenu de la criticité ou de l’importance du service, du processus ou de la fonction en question, ainsi que des incidences potentielles de ces risques sur la continuité et la disponibilité des services et activités financiers, au niveau individuel et le cas échéant, au niveau du groupe.