Checklist de preuves DORA pour prestataires TIC : modèle gratuit (XLSX)
Published 11 juil. 2026
By Orbiq Team

Checklist de preuves DORA pour prestataires TIC : modèle gratuit (XLSX)

Checklist gratuite de preuves DORA pour prestataires TIC : champs de registre alignés sur le registre d'informations, niveaux de criticité, cadence de preuves par niveau et suivi des stratégies de sortie.

dora
modeles
risque-tiers
registre-d-informations
reglementation-ue

Télécharger ce modèle

Version 1.0 · Mis à jour le 11 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en anglais

Checklist de preuves DORA pour prestataires TIC : modèle gratuit (XLSX)

Réponse rapide : cette checklist gratuite de preuves DORA pour prestataires TIC est un fichier XLSX téléchargeable (plus PDF et Markdown lisible par machine — fichiers téléchargeables en anglais) qui fournit aux entités financières un registre de prestataires aligné sur le registre d'informations, une grille d'évaluation de la criticité fondée sur l'article 28(2) du règlement (UE) 2022/2554, une checklist de preuves par niveau rattachée à l'article 30, des champs de divulgation de la chaîne de sous-traitance conformes à l'article 29 et aux RTS sur la sous-traitance, et un suivi des stratégies de sortie au titre de l'article 28(8). Les noms de champs suivent la structure des modèles de registre d'informations des AES adoptés par le règlement d'exécution (UE) 2024/2956 de la Commission, de sorte que les données que vous collectez alimentent directement votre registre prudentiel.

DORA s'applique dans toute l'UE depuis le 17 janvier 2025, et la supervision est passée des orientations à la qualité des données : les autorités nationales compétentes collectent désormais les registres chaque année, leur appliquent les règles de validation de l'EBA et rejettent les données incomplètes sur les prestataires, les sous-traitants et la criticité. Le goulot d'étranglement de la plupart des équipes conformité n'est pas la compréhension des règles — c'est l'absence d'un document de travail unique qui suit quel prestataire, quel niveau de criticité, quelle preuve, à quelle cadence. C'est ce que fait cette checklist DORA de risque tiers.


À retenir

  • Un seul registre, aligné sur le registre d'informations. La feuille registre des prestataires reflète la logique de champs des modèles de registre d'informations des AES (15 modèles en 8 groupes au titre du règlement d'exécution (UE) 2024/2956) : rien de ce que vous suivez ne devra être re-cartographié au moment de la soumission.
  • La criticité pilote tout. La distinction centrale de DORA est binaire — le service TIC soutient-il une fonction critique ou importante (FCI) ou non (article 28(2)). Le modèle ajoute un troisième niveau opérationnel pour les services à faible dépendance, afin que l'effort de preuve soit proportionné au risque.
  • Les preuves ont une cadence, pas une case à cocher. L'article 30(3)(e) vous donne des droits de surveillance continue sur les prestataires FCI ; la checklist les transforme en lignes de preuves trimestrielles et annuelles plutôt qu'en dossier d'intégration ponctuel.
  • Les chaînes de sous-traitance sont dans le périmètre. L'article 29 et le règlement délégué (UE) 2025/532 de la Commission vous imposent d'identifier et d'évaluer la chaîne de sous-traitance derrière les services FCI — le modèle la capture par prestataire.
  • Les stratégies de sortie doivent être documentées et testées. L'article 28(8) exige des plans de sortie complets, documentés et testés périodiquement — la feuille sortie suit les alternatives, les plans de transition, la portabilité des données et les dates de test.

Ce que contient le modèle

Le fichier XLSX contient cinq feuilles. Voici un aperçu représentatif de chacune.

1. Registre des prestataires TIC (aligné sur le registre d'informations)

ChampExempleAncrage registre / DORA
Dénomination sociale + LEI du prestataireCloudCore Europe B.V. · 5493001KJTIIGC8Y1R12Identification du prestataire (ITS, B_05)
Référence + type de contratCTR-2024-018 · Accord autonomeAccords contractuels (ITS, B_02)
Type de service TIC (taxonomie AES)Informatique en nuage — IaaSServices TIC (ITS, B_04)
Soutient une fonction critique ou importante ?Oui — traitement des paiementsArt. 28(2), art. 3(22)
Localisations de stockage / traitement des donnéesPays-Bas ; Irlande (reprise d'activité)Art. 30(2)(b)
Dates du contrat, renouvellement, préavis01.03.2024 → indéterminé · 6 moisChamps contractuels de l'ITS
Prestataire désigné CTPP ?NonListe CTPP des AES (nov. 2025)

2. Évaluation de la criticité

ChampOptions
Fonction soutenueTexte libre + identifiant de fonction
Fonction critique ou importante ?Oui / Non / En cours d'évaluation
Niveau de criticité (opérationnel)Niveau 1 — FCI · Niveau 2 — Standard · Niveau 3 — Faible dépendance
SubstituabilitéFacile / Difficile / Hautement complexe
Indicateur de risque de concentrationOui / Non (évaluation préliminaire, art. 29)
Réévaluation prévueDate (au moins annuelle)

3. Checklist de preuves (par niveau, avec cadence)

Catégorie de preuveExemple de preuveAncrage DORACadence Niveau 1Cadence Niveaux 2/3
Certification de sécuritéCertificat ISO/IEC 27001Art. 28(4)–(5), diligence raisonnableAnnuelleAnnuelle (N2) / À l'intégration (N3)
Assurance indépendanteRapport ISAE 3402 / ISAE 3000Art. 30(3)(e), droits de surveillanceAnnuelleSur demande
Rapports de niveau de serviceRapports de performance SLAArt. 30(3)(a)Trimestrielle
Tests de résilienceSynthèse de test d'intrusion ; confirmation de coopération TLPTArt. 30(3)(c)–(d), art. 26–27Annuelle / par cycle TLPT
Coopération en cas d'incidentSLA de notification d'incident + matrice de contactsArt. 30(2)(f), art. 19Revue annuelleRevue annuelle
Divulgation de la sous-traitanceListe actuelle des sous-traitants + localisationsArt. 29 ; RD (UE) 2025/532TrimestrielleAnnuelle (N2)
Continuité d'activitéRésultats de tests PCA/PRAArt. 30(3)(c)Annuelle
Préparation à la sortieDéclaration de portabilité des données ; plan de sortie testéArt. 28(8), art. 30(3)(f)Test annuel

4. Chaîne de sous-traitance & stratégie de sortie

Pour chaque prestataire de niveau 1 : nom du sous-traitant, juridiction, service sous-tendu, localisations des données dans la chaîne, indicateur de préoccupation sur la longueur de la chaîne — plus les champs de sortie : prestataire alternatif ou option interne identifiés, période de transition convenue au contrat, format de restitution des données, date du dernier test du plan de sortie et mesures de contingence.

5. Instructions

Définitions des champs, valeurs d'énumération et proposition de processus de revue trimestrielle.


Comment utiliser cette checklist

  1. L'inventaire d'abord. Recensez chaque accord de services TIC dans la feuille registre des prestataires — le registre de DORA couvre tous les accords contractuels sur des services TIC, pas seulement le cloud ni seulement les services critiques (article 28(3)).
  2. Classez. Passez chaque accord par la feuille d'évaluation de la criticité. La détermination FCI (article 28(2)) décide si l'ensemble des dispositions contractuelles de l'article 30(3) et le jeu de preuves de niveau 1 s'appliquent.
  3. Collectez selon la cadence. Travaillez la feuille checklist de preuves trimestriellement pour les prestataires de niveau 1 et annuellement pour les autres. Attachez des références de preuves, pas des documents — la feuille suit les statuts et les dates.
  4. Cartographiez la chaîne. Pour chaque prestataire de niveau 1, complétez les champs de sous-traitance. Si vous ne pouvez pas identifier qui sous-tend effectivement le service, c'est un constat en soi.
  5. Testez la sortie. Revoyez et testez les plans de sortie selon le calendrier que la feuille suit — un plan de sortie non testé ne satisfait pas au critère « suffisamment testé » de l'article 28(8).
  6. Alimentez le registre. À la fenêtre de soumission de votre autorité nationale, transférez les données structurées dans le paquet de reporting officiel de l'EBA et exécutez les règles de validation avant le dépôt.

Une remarque sur le calendrier : il n'existe pas de date limite unique et universelle dans l'UE pour les établissements. Les autorités nationales fixent leurs propres fenêtres — la Banque centrale d'Irlande, par exemple, a collecté les registres 2026 entre le 2 et le 31 mars 2026 avec une date de référence au 31 décembre 2025, afin que les autorités puissent transmettre les registres consolidés aux AES pour le 31 mars. Confirmez votre fenêtre auprès de votre propre autorité compétente.


Base juridique

  • Article 28(2) — avant de contracter, évaluer si l'accord couvre des services TIC soutenant une fonction critique ou importante, si les conditions prudentielles sont réunies, et tous les risques pertinents, y compris le risque de concentration.
  • Article 28(3) — tenir et mettre à jour le registre d'informations aux niveaux de l'entité, sous-consolidé et consolidé ; rendre compte au moins annuellement des nouveaux accords ; mettre le registre à la disposition de l'autorité compétente.
  • Article 28(8) — pour les services FCI, mettre en place des stratégies de sortie documentées, complètes, suffisamment testées et revues périodiquement, identifier des solutions alternatives et élaborer des plans de transition pour le transfert sûr et intègre des services et des données.
  • Article 29 — évaluation préliminaire du risque de concentration TIC, y compris les risques liés aux chaînes de sous-traitance longues ou complexes et aux sous-traitants de pays tiers.
  • Articles 30(2) et 30(3) — dispositions contractuelles de base pour tous les services TIC (30(2)), plus les exigences FCI (30(3)) : descriptions complètes des niveaux de service avec objectifs quantitatifs (a), obligations de préavis et de rapport (b), exigences de contingence et de sécurité (c), participation aux TLPT (d), surveillance continue avec droits d'accès, d'inspection et d'audit (e), et stratégies de sortie avec une période de transition adéquate obligatoire (f).
  • Règlement d'exécution (UE) 2024/2956 de la Commission (29 novembre 2024) — l'ITS des AES établissant les modèles standard du registre d'informations : 15 modèles en 8 groupes reliés par des clés relationnelles, soumis aux autorités nationales au format de reporting de l'EBA.
  • Règlement délégué (UE) 2025/532 de la Commission (24 mars 2025, en vigueur le 22 juillet 2025) — RTS précisant ce que les entités financières doivent déterminer et évaluer lorsqu'elles sous-traitent des services TIC soutenant des fonctions critiques ou importantes.
  • Ressources de reporting du registre d'informations de l'EBA — modèle de données officiel, règles de validation et documents sur la qualité des données.

Pour la vue réglementaire complète, consultez notre guide de conformité DORA ; pour comprendre pourquoi les articles 19, 28 et 30 dépassent un SMSI traditionnel, lisez l'analyse des articles 19, 28 et 30 de DORA.


Royaume-Uni, Norvège et EEE

Royaume-Uni : il n'existe pas de DORA britannique. Les établissements britanniques opèrent sous le régime de résilience opérationnelle FCA/PRA (FCA PS21/3 et PRA SS1/21) — services métier importants, tolérances d'impact et tests de scénarios, pleinement en vigueur depuis le 31 mars 2025 — plus le régime des tiers critiques issu du FSMA 2023 (PS16/24, effectif en janvier 2025). Le Royaume-Uni exige une cartographie interne et une auto-évaluation vivante, mais aucune soumission de registre d'informations. Les groupes présents sur les deux marchés peuvent néanmoins utiliser cette checklist comme sur-ensemble : le jeu de preuves DORA couvre ce que la cartographie britannique requiert.

Norvège / EEE : DORA a été incorporé dans l'accord sur l'EEE le 20 février 2025, et la loi norvégienne DORA est entrée en vigueur le 1er juillet 2025, remplaçant l'ancien règlement TIC (IKT-forskriften) pour les entités concernées. Finanstilsynet est l'autorité compétente et collecte les informations de registre et les notifications d'incidents — les entités financières norvégiennes doivent donc traiter cette checklist exactement comme leurs homologues de l'UE, en substituant les fenêtres et formulaires de Finanstilsynet à ceux de leur autorité nationale. Si vous arbitrez entre DORA et des obligations NIS2 ailleurs dans votre groupe, notre comparaison DORA vs NIS2 cartographie les différences.


Maintenir le registre continuellement à jour

Un tableur vous fait passer la première soumission. Ce que les superviseurs testent de plus en plus, c'est si le registre est mis à jour en continu — nouveaux sous-traitants divulgués, preuves rafraîchies selon la cadence, criticité réévaluée quand les fonctions changent. La plateforme Vendor Assurance d'Orbiq automatise exactement cette couche : fiches prestataires structurées, collecte de preuves avec suivi des expirations et surveillance continue de la posture de sécurité des prestataires TIC — conçue pour les entités financières européennes, avec résidence des données dans l'UE. Pour la méthodologie d'évaluation derrière la grille de criticité, notre modèle d'évaluation des risques fournisseurs est le compagnon naturel. La variante Markdown lisible par machine de cette checklist est disponible à l'adresse /downloads/templates/dora-ict-provider-evidence-checklist.md pour les workflows à base d'agents IA.


Sources et références

  1. Règlement (UE) 2022/2554 (DORA) — EUR-Lex — texte du Journal officiel ; références aux articles 28, 29 et 30
  2. Règlement d'exécution (UE) 2024/2956 de la Commission — EUR-Lex — ITS sur les modèles standard du registre d'informations
  3. Règlement délégué (UE) 2025/532 de la Commission — EUR-Lex — RTS sur la sous-traitance de services TIC soutenant des fonctions critiques ou importantes
  4. EBA — Preparation for DORA application : ressources de reporting du registre d'informations — modèle de données, règles de validation et documents sur la qualité des données
  5. EBA — RTS conjoint sur la sous-traitance — statut et date d'application des RTS sur la sous-traitance
  6. Banque centrale d'Irlande — Reporting of Registers of Information — exemple de fenêtre de soumission d'une autorité nationale pour 2026
  7. FCA PS21/3 — Building Operational Resilience — régime britannique de résilience opérationnelle
  8. Finanstilsynet — la loi norvégienne DORA en vigueur au 1er juillet 2025 — mise en œuvre norvégienne et autorité compétente

Télécharger ce modèle

Version 1.0 · Mis à jour le 11 juil. 2026 · Gratuit, sans e-mail requis · Fichiers téléchargeables en anglais

Questions fréquentes

Qu'est-ce que le registre d'informations DORA ?

Le registre d'informations est le registre structuré de tous les accords contractuels relatifs à l'utilisation de services TIC que les entités financières doivent tenir au titre de l'article 28(3) du règlement (UE) 2022/2554 (DORA). Il doit être tenu aux niveaux de l'entité, sous-consolidé et consolidé, distinguer les accords qui soutiennent des fonctions critiques ou importantes, et être communiqué à l'autorité nationale compétente au moyen des modèles standard du règlement d'exécution (UE) 2024/2956 de la Commission.

Quelles preuves les entités financières doivent-elles collecter auprès des prestataires TIC au titre de DORA ?

Cela dépend de la criticité. Pour les services TIC soutenant des fonctions critiques ou importantes, l'article 30(3) de DORA exige des droits contractuels à des rapports de niveau de service complets, à la coopération en cas d'incident, à la participation aux TLPT, à une surveillance continue avec droits d'audit et d'inspection, et à une assistance de sortie — les entités devraient donc collecter des rapports de SLA, des certificats ISO/IEC 27001 ou des rapports d'assurance ISAE, des résultats de tests de résilience, la divulgation des chaînes de sous-traitance et des plans de sortie testés. Pour les services non critiques, les preuves de base de l'article 30(2) — descriptions de service, localisations des données, engagements de sécurité — suffisent.

Existe-t-il une date limite unique dans l'UE pour la soumission du registre d'informations en 2026 ?

Non. Les autorités nationales compétentes fixent leurs propres fenêtres de soumission pour les entités financières — la Banque centrale d'Irlande, par exemple, a collecté les registres 2026 entre le 2 et le 31 mars 2026, avec une date de référence au 31 décembre 2025. La date du 31 mars contraint le moment où les autorités nationales transmettent les registres consolidés aux AES, pas celui où chaque établissement dépose le sien. Confirmez toujours la fenêtre auprès de votre propre autorité compétente.

Que doit contenir une stratégie de sortie DORA ?

Au titre de l'article 28(8), les stratégies de sortie pour les services TIC soutenant des fonctions critiques ou importantes doivent être complètes, documentées, suffisamment testées et revues périodiquement. Elles doivent identifier des solutions alternatives, inclure des plans de transition pour retirer les services et les données du prestataire et les transférer en toute sécurité vers un prestataire alternatif ou en interne, et s'appuyer sur des mesures de contingence qui maintiennent l'activité si le prestataire fait défaut ou si la qualité de service se dégrade.

DORA s'applique-t-il au Royaume-Uni ?

Non. Le Royaume-Uni n'a pas d'équivalent direct de DORA. Les établissements britanniques suivent le régime de résilience opérationnelle FCA/PRA (FCA PS21/3 et PRA SS1/21, pleinement en vigueur depuis le 31 mars 2025), fondé sur les services métier importants et les tolérances d'impact, plus le régime des tiers critiques issu du FSMA 2023. Le régime britannique exige une cartographie interne et une auto-évaluation, mais aucune soumission de registre d'informations à la DORA.

DORA s'applique-t-il en Norvège ?

Oui. DORA a été incorporé dans l'accord sur l'EEE le 20 février 2025, et la loi norvégienne DORA (Lov om digital operasjonell motstandsdyktighet i finanssektoren) est entrée en vigueur le 1er juillet 2025, remplaçant l'ancien règlement TIC pour les entités concernées. Finanstilsynet est l'autorité compétente et collecte les notifications d'incidents et les informations de registre des entités financières norvégiennes.

Checklist de preuves DORA pour prestataires TIC : modèle...