← Tous les articles

consultant

CSSF — DORA: registre TIC au 31 mars 2026, l’inventaire devient critique

La CSSF ouvre la collecte DORA du registre des services TIC avec des validations durcies. Sans inventaire/CMDB automatisé et fiable, le dépôt risque le rejet et les angles morts supply chain persistent.

En bref — La CSSF a ouvert la collecte DORA du « registre des services TIC » le 11 février 2026, avec échéance au 31 mars (au 30 juin pour certaines succursales de pays tiers). Les validations ESA sont durcies: un registre accepté en 2025 peut être refusé en 2026 si la qualité des données n’est pas au rendez‑vous. Dans le même temps, l’attaque supply chain Klue ayant exposé des données chez LastPass rappelle l’urgence d’un inventaire précis des intégrations et fournisseurs.

Les faits

La CSSF confirme l’ouverture de la fenêtre de soumission via eDesk entre le 11 février et le 31 mars 2026 et avertit d’un renforcement des contrôles par rapport à 2025. Voir les communiqués du 11/02/2026 et du 17/02/2026 (délai étendu au 30/06/2026 pour certaines succursales), ainsi que la page TIC et cyber‑risque – entités DORA. Mise à jour: 03/2026.

Côté menaces, LastPass a confirmé le 23 juin 2026 une compromission via l’attaque supply chain Klue: des jetons OAuth volés ont exposé des données dans Salesforce, sans accès aux coffres-forts. Détails: BleepingComputer.

Le cadre légal qui s’applique

  • DORA art. 28(3): registre exhaustif des conventions TIC avec prestataires tiers, aux niveaux entité/sous‑consolidé/consolidé, transmission annuelle au superviseur. Réfs CSSF: 11/02/2026, 03/2026.
  • NIS 2 art. 21(2)(d): gestion des actifs et sécurité de la supply chain parmi les mesures minimales de gestion des risques. Texte: EUR‑Lex.
  • CSSF 25/882: exigences sur l’usage des services TIC tiers (choix, clauses, encadrement) et articulation avec DORA. Réfs: Circulaire 25/882 et page CSSF.

Pour replacer ces exigences, voir aussi notre page DORA et résilience opérationnelle et les implications NIS 2 pour les entités essentielles.

La solution technique à déployer: inventaire et CMDB

Objectif: un référentiel unique et à jour des actifs et services (on‑prem, cloud, SaaS), propriétaires, dépendances, données, criticité, contrats/DPA, clauses DORA, SLA, obligations de notification, intégrations (API/OAuth) et emplacements (UE/tiers pays). Alignements: ISO 27001:2022 A.5.9, A.5.19; NIST CSF 2.0 ID.AM; CIS Controls 1–2.

Mise en œuvre pratique

  • Découverte multi‑sources: connecteurs cloud (AWS/GCP/Azure), discovery réseau, agents endpoints, APIs SaaS (ServiceNow, Salesforce, M365, Workday…), import achats/contrats et MDM applicatif.
  • Modèle CMDB orienté service: cartographie services → composants (microservices, bases, VMs, buckets), flux (API/interco), données (catégories RGPD), tiers (prestataires/CSP), avec rattachement des artefacts DORA (identité fournisseur, référence contractuelle, pays d’hébergement, chaîne de sous‑traitants, clauses de sortie, RTO/RPO, canaux de notification).
  • Contrôles automatiques: détection de shadow IT/SaaS non déclaré, intégrations OAuth à risque, géolocalisation hors UE, échéances contractuelles sans plan de sortie, fournisseurs non évalués.
  • Sorties conformes: génération du registre DORA (schéma ESA) et vues NIS 2 (plan de gestion des actifs, criticité/dépendances).

Pourquoi c’est plus exigeant en 2026: les validations renforcées de la CSSF accroissent le risque de rejet en cas de données incomplètes ou incohérentes (source).

Comment Luxgap déploie cela

  • Gouvernance ISO 27001: structuration du catalogue de services et du modèle CMDB, taxonomie (actifs, propriétaires, données, contrats), procédures de mise à jour/qualité (RACI, KPIs).
  • DPO et CISO externalisés: cartographie des données personnelles, bases légales/transferts, rattachement DPA et clauses DORA pour produire le registre sans retraitement. Découvrez notre pilotage cyber par un CISO externalisé.
  • SOC managé (option): collecte des journaux API/OAuth et des configurations SaaS/Cloud pour détecter le shadow IT et les intégrations risquées; réconciliation automatique dans la CMDB. Voir notre offre SOC managé et détection d’incidents.

Étapes concrètes:

  1. Choisir la plateforme (ServiceNow/CMDB open‑source/CSPM avec inventaire).
  2. Déployer les connecteurs et importer contrats/DPA.
  3. Modéliser les services et générer les premiers exports DORA/NIS 2.
  4. Industrialiser la qualité (règles, rapports d’écarts).
  5. Tester la régénération du registre avant soumission CSSF.

Cas d’usage

Pour une institution de paiement luxembourgeoise (120+ services dont 35 SaaS), nous avons en 6 semaines: branché les connecteurs, importé contrats/DPA; identifié 17 intégrations OAuth oubliées (4 à privilèges étendus) et 3 sous‑traitants N+2 hors UE sans clause de réversibilité; généré un registre conforme (format ESA) et un plan d’assainissement priorisé. Résultat: dépôt validé sans rejet et posture renforcée face aux contrôles NIS 2.

Premiers pas

  • Lister les sources d’inventaire: clouds, IdP, EDR/XDR, MDM, achats/contrats, APIs SaaS clés.
  • Lancer un quick‑scan shadow IT: applications OAuth reliées à l’IdP et aux suites SaaS; isoler celles sans propriétaire ni DPA.
  • Définir le modèle CMDB minimal « 1 page » pour DORA: service, composants, données, fournisseur, localisation, sous‑traitants, clauses clés, contacts d’escalade/notification.
  • Automatiser un export pilote « registre DORA » et le valider face aux règles ESA/CSSF; corriger les écarts de qualité.
  • Planifier une revue trimestrielle DPO/CISO/Achats pour maintenir l’inventaire, revoir les intégrations OAuth et simuler une notification fournisseur.

Sources officielles

Besoin d’aide pour cadrer votre registre et l’inventaire associé? Contactez‑nous via la page Luxgap.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →