Dans le cadre de l’identification et de l’évaluation du risque de concentration informatique, les entités financières examinent également si la conclusion envisagée d’un accord contractuel portant sur des services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. conduirait à l’une des situations suivantes :
- la conclusion d’un contrat avec un prestataire tiers de services TIC dont les services ne sont pas facilement substituables ;
- la mise en place de plusieurs accords contractuels relatifs à la fourniture de services TIC qui soutiennent des Une fonction critique ou importante est une opération ou un service essentiel au fonctionnement continu et sécurisé d’une organisation, dont l’interruption est susceptible de causer des perturbations significatives ou des pertes importantes. avec le même prestataire tiers de services TIC ou avec des prestataires tiers de services TIC étroitement liés.
Dans un tel cas, les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires tiers de services TIC, en tenant compte de la compatibilité éventuelle des solutions envisagées avec leurs besoins et leurs objectifs définis dans leur stratégie de résilience numérique, et de la manière de garantir cette compatibilité.
Le risque de concentration
Afin de remédier à l’effet systémique du risque de concentration des prestataires tiers de services TIC, DORA privilégie une approche souple et progressive en ce qui concerne le risque de concentration. Le législateur européen a ainsi jugé que l’imposition d’un plafond spécifique ou d’une limitation stricte pourrait entraver la conduite des affaires et restreindre la liberté contractuelle.
Les entités financières doivent donc procéder à une évaluation rigoureuse des accords contractuels qu’elles envisagent afin de déterminer la probabilité qu’un tel risque apparaisse. Lors de cette analyse, elles analyseront en particulier les accords de sous-traitance, en particulier ceux conclus avec des prestataires tiers de services TIC établis dans un pays tiers.