La loi DORA établit des exigences techniques pour les entités financières et les fournisseurs de TIC dans quatre domaines :

Gestion et gouvernance des risques liés aux TIC

Réponse aux incidents et reporting

Tests de résilience opérationnelle numérique

Gestion des risques liés aux tiers

Un cinquième domaine concerne l’échange d’information, qui est encouragé mais facultatif, contrairement aux quatre autres domaines.

Les entités financières concernées par le règlement DORA sont invitées à participer activement à la gestion des risques tiers liés aux TIC. Quand les entités financières externalisent des fonctions critiques et importantes, elles doivent négocier des dispositions contractuelles spécifiques concernant les stratégies de retrait, les audits et les objectifs de performance pour l’accessibilité, l’intégrité et la sécurité des données, entre autres. Les entités ne sont pas autorisées à conclure un contrat avec des fournisseurs de TIC qui ne répondent pas à ces exigences. La BCE et les autorités nationales compétentes sont habilitées à suspendre ou à résilier les contrats non conformes. La Commission européenne étudie la possibilité de rédiger des clauses contractuelles standardisées que les entités et les fournisseurs de TIC pourront utiliser afin de s’assurer que leurs accords respectent la loi DORA.

Les entités financières doivent également cartographier leurs dépendances TIC à l’égard des tiers, et s’assurer que leurs fonctions critiques et importantes ne se concentrent pas de manière excessive chez un seul fournisseur ou un petit groupe de fournisseurs.

Les fournisseurs de services tiers essentiels dans le domaine des TIC seront soumis à une supervision directe de la part des AES concernées. La Commission européenne développe encore les critères qui visent à déterminer quels fournisseurs sont essentiels. Ceux qui satisfont aux normes se verront attribuer l’une des AES en tant que superviseur principal. En plus de faire appliquer les exigences de la loi DORA aux fournisseurs essentiels, les superviseurs principaux sont habilités à interdire aux fournisseurs de conclure des contrats avec des sociétés financières ou d’autres fournisseurs de TIC qui ne se conforment pas aux obligations de la loi DORA.