Registre DORA : mode d’emploi pour une première soumission sans faute

À l’approche de l’échéance du 30 avril 2025, les institutions financières soumises à DORA doivent soumettre leur premier registre d’informations TIC. Ce document centralise l’ensemble des contrats passés avec des prestataires de services TIC, notamment ceux considérés comme critiques ou importants. Voici comment préparer une soumission sans faute.

1. Comprendre les attendus du registre DORA

Le registre doit recenser tous les accords contractuels actifs avec des prestataires TIC. Pour chaque contrat, il faut indiquer les services fournis, la fonction critique associée, les modalités contractuelles, les droits d’audit, les clauses de résiliation, et bien d’autres champs obligatoires selon le règlement d’exécution (UE) 2024/2956.

2. Identifier et classifier ses fournisseurs

• Lister tous les fournisseurs actifs

• Déterminer si le service fourni est lié à une fonction critique ou importante

• Associer un niveau de criticité à chaque fournisseur

3. Collecter les données manquantes

• Contacter les fournisseurs pour compléter les champs obligatoires

• Centraliser tous les contrats et annexes dans un espace unique

• Valider les informations avec les équipes Achats, Juridique et IT

4. Choisir le bon format technique

Le registre doit être transmis au format CSV, structuré selon les gabarits fournis par les autorités. Attention : lors du dry run européen, 94 % des fichiers Excel soumis ont été rejetés !

5. Effectuer une revue croisée

Faire relire le registre par le Risk Manager, le DPO et le RSSI pour valider l’exhaustivité et la conformité des données.

6. Soumettre dans les temps

• Date limite en France : 15 avril 2025 via le portail OneGate de l’ACPR

• Réception par les AES : 30 avril 2025

Conclusion

Un registre bien préparé, c’est l’assurance de franchir la première étape de conformité DORA en toute sérénité. Avec Galink, vous centralisez, évaluez et exportez votre registre automatiquement, conforme au format requis.