← Tous les articles

consultant

CSSF: DORA prime et précise l’externalisation TIC (avril 2025)

La CSSF a acté la primauté de DORA dès le 17 janvier 2025 et publie la circulaire 25/882 pour encadrer l’usage de services TIC tiers, le registre d’informations (art. 28) et les notifications via eDesk.

Par Expertise Luxgap 18/05/2026

Fait déclencheur. Le 15 janvier 2025, la CSSF a rappelé que, dès le 17 janvier 2025, les exigences du règlement DORA et de ses RTS/ITS publiés au JOUE prévalent sur tout chevauchement avec les circulaires CSSF (dont 20/750, 22/806, 24/847). Voir le communiqué: cssf.lu.

Le 9 avril 2025, la CSSF a aligné plusieurs circulaires sur DORA et créé la Circulaire 25/882 qui encadre l’usage de services TIC tiers (notification préalable, registre d’informations, précisions “cloud”). Voir le communiqué: cssf.lu. Le cadre européen reste le Règlement (UE) 2022/2554 (DORA).

Pour le contexte luxembourgeois et les modalités opérationnelles, la page thématique “TIC et cyber‑risque – pour les entités DORA” (mise à jour 2026) détaille autorités compétentes, RTS/ITS, et le périmètre de la 25/882 (cloud, responsable, sauvegardes, délais): cssf.lu.

Pour une vue d’ensemble du cadre DORA et son articulation avec les textes nationaux, nous renvoyons également à notre page loi.

L’affaire

  • Primauté (15/01/2025): DORA et ses RTS/ITS publiés au JOUE priment sur les circulaires CSSF en cas de recouvrement; précisions sur la notification DORA via eDesk et le calendrier 2025 du registre d’informations (RoI). Source: cssf.lu.
  • Mise à jour des circulaires (09/04/2025): adoption sélective des lignes directrices EBA ICT pour PSP, recentrage de la 22/806 sur l’externalisation non‑ICT pour les entités DORA, et création de la Circulaire CSSF 25/882 pour l’usage de services TIC tiers (notification préalable, RoI). Source: cssf.lu.
  • Autorités: CSSF (secteur financier) et CAA (assurances) compétentes DORA. Détails: cssf.lu.

Le raisonnement juridique

  • Applicabilité directe: En tant que règlement, DORA s’applique directement et prime localement lorsque recouvrement. Référence: cssf.lu.
  • Externalisation TIC et RoI: DORA Chapitre V, en particulier l’article 28, impose un registre d’informations couvrant tous les accords TIC, des plans de réversibilité et une information préalable de l’autorité pour toute fonction critique ou importante. Texte: eur-lex.europa.eu.
  • Transposition opérationnelle CSSF (25/882): modalités de notification préalable (3 mois standard; 1 mois pour certains PSF de support – art. 29-3 LFS), exigences “cloud” (définition, gouvernance, responsable), et précisions RoI (format, canaux eDesk, contrôles). Détails: cssf.lu.
  • Incidents: bascule vers les formulaires harmonisés DORA (initiale, intermédiaire, finale) via eDesk; fin des anciens schémas pour les entités désormais DORA. Réf.: cssf.lu.

Ce que ça change concrètement

  • Pour les entités DORA (banques, gestionnaires, PSP, etc.): alignez politiques/processus “ICT risk” et “outsourcing TIC” sur DORA (niveau 1 + RTS/ITS). Les anciennes circulaires ne suffisent plus en cas de recouvrement. Conseil d’administration: approuver une politique TIC tierce et tenir un RoI exhaustif. Réf.: cssf.lu.
  • Cloud: 25/882 impose gouvernance, responsable “cloud”, sauvegardes spécifiques (comptabilité/positions clients) et notification préalable pour fonctions critiques/importantes (jusqu’à 3 mois). Détails: cssf.lu.
  • Registre d’informations (art. 28): calendrier eDesk, contrôles, rejets potentiels par les AES. Préparez des données normalisées (CSV) et des validations internes. Réf.: cssf.lu.
  • Incidents: utilisez “DORA Major ICT-related incident and significant cyber threat notification” via eDesk; alignez avec RGPD art. 33 si données personnelles impactées. Réf.: cssf.lu.

Les entités DORA au Luxembourg doivent aussi orchestrer l’articulation avec la sécurité de l’information, la continuité et la gestion fournisseurs.

Exemples rapides

  • Migration d’un core banking en SaaS: notifier 3 mois avant la signature si la fonction est critique/importante; inclure droits d’audit, localisation, sortie; plan de réversibilité testé. Détails: cssf.lu.
  • Outil SOC managé: consigner l’accord dans le RoI, qualifier la criticité, définir KPI/SLA et exigences de sécurité conformes RTS. Réf.: eur-lex.europa.eu.
  • Incident DDoS: si seuils DORA atteints, notification initiale via eDesk selon la procédure CSSF; coordonner avec le DPO pour RGPD art. 33/34. Réf.: cssf.lu.

Côté préparation, anticipez vos plans de continuité et de reprise et la qualité des données du RoI.

Pièges fréquents

  1. Penser que “20/750 ou 22/806 suffisent”: faux en cas de recouvrement, DORA prime. Cartographiez vos politiques/contrats avec DORA. Réf.: cssf.lu.
  2. Sous‑estimer le RoI: identifiants fournisseurs, lois applicables, sous‑traitance en cascade, liens groupe. Anticipez les règles de validation. Réf.: cssf.lu.
  3. Oublier la notification préalable: délais 25/882 (jusqu’à 3 mois; 1 mois pour certains PSF de support). Réf.: cssf.lu.
  4. Déléguer la notification d’incident sans cadrage: information préalable requise (coordonnées, LEI, rôles eDesk); l’entité reste responsable. Réf.: cssf.lu.
  5. Ne pas aligner l’operating model interne: rôles/compétences (ex. responsable cloud), politiques approuvées par l’organe de direction, articulation sécurité/continuité/fournisseurs. Réf.: cssf.lu.

Sources officielles

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

expertise reglementaire dora cssf externalisation-tic roi-article-28 cloud
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →