DORA introduit un cadre réglementaire strict pour la gestion des prestataires de services, en particulier ceux liés aux technologies de l’information et de la communication (TIC). Les principales exigences sont énoncées aux articles 28 à 31 et au chapitre V du règlement. Les entités financières doivent :

• Évaluer les risques liés aux tiers (article 28) : Identifier et évaluer les risques opérationnels, cyber et de continuité d’activité associés à chaque prestataire.
• Mettre en place des contrats robustes (article 29) : Les contrats avec les prestataires doivent inclure des clauses spécifiques sur la sécurité des systèmes d’information, la gestion des incidents, la protection des données et la conformité aux exigences de DORA.
• Surveiller en continu les prestataires (article 30) : Les institutions doivent mettre en place des mécanismes de surveillance continue pour s’assurer que les prestataires respectent leurs engagements contractuels et réglementaires.
• Prévoir des plans de sortie (article 31) : En cas de défaillance d’un prestataire, les entités financières doivent disposer de plans de secours pour garantir la continuité des services critiques.

Ces exigences s’appliquent à tous les prestataires, qu’ils soient situés dans l’Union européenne ou hors de l’UE, ce qui renforce la nécessité d’une diligence raisonnable accrue.