DORA art. 28: la CSSF durcit le ton sur le registre des dépendances ICT

La CSSF a ouvert la collecte eDesk du registre d’informations exigé par l’article 28(3) du règlement (UE) 2022/2554 (DORA) et a rappelé mi‑mars 2026 que seules 40% des entités avaient soumis leur registre, avec des contrôles qualité des AES en avril et un risque de rejets nécessitant des corrections rapides. Pour un rappel des exigences, voir DORA et la résilience opérationnelle.

L’affaire

Le 11 février 2026, la Commission de Surveillance du Secteur Financier (CSSF) a ouvert, via eDesk, la collecte du registre d’informations prévu par l’article 28(3) du règlement (UE) 2022/2554 dit DORA, avec une fenêtre de soumission du 11 février au 31 mars 2026. La CSSF a précisé que le registre devait couvrir « tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers », aux niveaux individuel, sous‑consolidé et consolidé, conformément à la circulaire CSSF 25/882. Elle a aussi alerté sur les risques d’accès excessif en cas de délégation eDesk à un tiers et appelé à la prudence opérationnelle dans l’organisation des droits d’accès internes et externes [communiqué CSSF 11/02/2026]. Voir: CSSF, “DORA – Délai de soumission du registre d’information – eDesk ouvert à partir du 11 février 2026”. https://www.cssf.lu/fr/2026/02/dora-delai-de-soumission-du-registre-dinformation-portail-edesk-ouvert-a-partir-du-11-fevrier-2026/.

Le 17 mars 2026, la CSSF a publié une mise à jour soulignant qu’« au 16 mars, seules 40% des entités concernées ont soumis leur registre » et que, compte tenu des contrôles additionnels menés par les Autorités européennes de surveillance (AES) en avril, des rejets pourraient survenir et nécessiter des corrections et un “re‑submit” avant fin avril. Elle a aussi confirmé une échéance au 30 juin 2026 « on a best effort basis » pour les succursales d’établissements de crédit de pays tiers, à la suite de la clarification DORA102‑3097 des AES sur l’applicabilité de DORA aux branches de pays tiers [communiqué CSSF 17/03/2026; Q&A EIOPA DORA102‑3097]. Voir: CSSF, “DORA – Collecte du registre d’information – Mise à jour (uniquement en anglais)”. https://www.cssf.lu/fr/2026/03/dora-collecte-du-registre-dinformation-mise-a-jour/ et EIOPA, Q&A DORA102‑3097. https://www.eiopa.europa.eu/qa-regulation/questions-and-answers-database/dora102-3097_en.

Le raisonnement juridique

• Fondement. L’article 28(3) DORA impose à toute « entité financière » (banques, IFM, PSF, assureurs, gestionnaires, etc.) de tenir un registre d’informations sur tous les contrats de services TIC tiers, mis à jour aux niveaux individuel, sous‑consolidé et consolidé. Le même article prévoit que les AES élaborent des gabarits normalisés (ITS) pour ce registre. Texte officiel: règlement (UE) 2022/2554, art. 28. https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32022R2554.
• Formats et champs exigés. L’ITS de la Commission, règlement d’exécution (UE) 2024/2956 du 29 novembre 2024, fixe les modèles standard (notamment l’usage obligatoire d’un LEI valide, des tables de paramètres, et des identifiants normalisés des prestataires et fonctions critiques/importantes). Référence: 2024/2956. http://data.europa.eu/eli/reg_impl/2024/2956/oj.
• Branches de pays tiers. La clarification conjointe des AES (Q&A DORA102‑3097) confirme que les succursales d’établissements de crédit dont le siège est hors UE sont tenues de soumettre un registre à l’autorité compétente de l’État membre d’accueil – au Luxembourg, la CSSF. https://www.eiopa.europa.eu/qa-regulation/questions-and-answers-database/dora102-3097_en.
• Articulation avec NIS 2 au Luxembourg (ILR). DORA est un « acte sectoriel spécifique » au sens de l’article 4 de la directive (UE) 2022/2555 (NIS 2). La Commission a rappelé que, pour les entités financières qualifiées d’« essentielles » ou « importantes » au titre de NIS 2, DORA prime pour la gestion des risques TIC et des tiers (chapitre V, dont art. 28). Communication de la Commission sur l’application de l’article 4(1)-(2) NIS 2. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A52023XC0918%2801%29.
• Attentes de supervision CSSF. La collecte 2026 n’est pas qu’un simple “upload”: la CSSF annonce des contrôles de qualité par les AES en avril (post‑transmission) et la nécessité de ressources disponibles pour corriger les rejets sous délais contraints. https://www.cssf.lu/fr/2026/03/dora-collecte-du-registre-dinformation-mise-a-jour/.

Ce que ça change concrètement

• Toutes les entités financières luxembourgeoises (banques, PSF, IFM, assureurs, gestionnaires, PSAN régulés, etc.) doivent cartographier l’ensemble de leurs contrats TIC tiers – pas seulement les « critiques/importants » – et les soumettre selon le modèle ITS 2024/2956. Les fonctions critiques/importantes doivent être marquées, avec l’ensemble des dépendances techniques, juridiques et opérationnelles. Pour la continuité et la sortie, un appui opérationnel peut s’appuyer sur le plan de continuité et la résilience DORA.
• Les succursales d’établissements de crédit de pays tiers au Luxembourg sont dans le périmètre et doivent, selon la CSSF, fournir le registre au plus tard le 30 juin 2026 « best effort » (échéance spécifique issue de la clarification DORA102‑3097). https://www.cssf.lu/fr/2026/02/dora-delai-de-soumission-du-registre-dinformation-pour-les-succursales-detablissements-de-credit-ayant-leur-siege-social-dans-un-pays-tiers/.
• La qualité des données n’est pas cosmétique: la CSSF a indiqué que les AES (EBA, ESMA, EIOPA) opèrent des contrôles automatisés; des erreurs de format ou d’identifiant (LEI, codification des prestataires/fonctions) provoquent des rejets, des itérations et un risque de non‑conformité documentaire si les corrections ne sont pas apportées avant fin avril. https://www.cssf.lu/fr/2026/03/dora-collecte-du-registre-dinformation-mise-a-jour/ ; guide CSSF “error messages”. https://www.cssf.lu/en/Document/guidance-for-interpretation-and-resolution-of-cssf-error-messages-related-to-the-submission-of-the-dora-register/.
• En cas de double périmètre NIS 2/ILR et DORA/CSSF, l’effort d’inventaire des tiers TIC réalisé pour DORA constitue la « source de vérité » pour justifier les mesures supply chain exigées par l’article 21(2)(d) NIS 2, l’ILR renvoyant explicitement à la sécurité de la chaîne d’approvisionnement. https://www.ilr.lu/en/sectors/niss/nis-2/security-measures-and-supervision-under-nis2/. Voir aussi la mise en œuvre DORA au Luxembourg.

Exemples concrets

• Un gestionnaire d’actifs avec OMS/EMS en SaaS et un SOC externalisé doit relier chaque contrat aux services fournis, indiquer s’il supporte une fonction « critique/importante » (ex. trading/order routing) et référencer le LEI du fournisseur.
• Une banque avec une plateforme cloud PaaS/IaaS multi‑région doit ventiler par entité légale et inclure les sous‑traitants en chaîne (support, monitoring, sauvegardes managées), ainsi que les clauses de sortie (exit/portability) exigées par DORA art. 30, même si l’ITS art. 28 reste le pivot de la collecte.

Pièges fréquents

1. Inventaire incomplet des « services TIC ». Beaucoup d’entités limitent le registre aux prestataires « critiques ». DORA art. 28(3) impose un registre couvrant « tous » les accords TIC, la criticité n’étant qu’un attribut. Texte: DORA art. 28(3). https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32022R2554.
2. Mauvaise identification des fonctions critiques/importantes. L’attribut est absent, trop générique ou incohérent entre entités du groupe, ce qui déclenche des erreurs de validation par les AES et des rejets. Voir la mise à jour CSSF du 17/03/2026 et le guide d’erreurs. https://www.cssf.lu/fr/2026/03/dora-collecte-du-registre-dinformation-mise-a-jour/ ; https://www.cssf.lu/en/Document/guidance-for-interpretation-and-resolution-of-cssf-error-messages-related-to-the-submission-of-the-dora-register/.
3. Identifiants et métadonnées non conformes à l’ITS 2024/2956. LEI expiré, noms libres au lieu de codes normalisés, dates/paramètres mal renseignés (ex. refPeriod). L’ITS et les FAQ des AES précisent les formats. ITS 2024/2956; EBA Single Rulebook/FAQs. http://data.europa.eu/eli/reg_impl/2024/2956/oj ; https://www.eba.europa.eu/regulation-and-policy/single-rulebook/interactive-single-rulebook/17753.
4. Oubli des succursales de pays tiers et incohérences intra‑groupe. Les branches UE de banques non‑UE doivent soumettre leur propre registre à la CSSF; une consolidation “rapide” depuis le siège hors UE, sans regarder la clarification DORA102‑3097, conduit à des lacunes. https://www.eiopa.europa.eu/qa-regulation/questions-and-answers-database/dora102-3097_en.
5. Gouvernance eDesk négligée. Délégations d’accès trop larges à un fournisseur externe (cabinet, GRC), exposant d’autres procédures eDesk de l’entité (CSSF 11/02/2026). La CSSF recommande un cloisonnement strict des rôles et une supervision des habilitations. https://www.cssf.lu/fr/2026/02/dora-delai-de-soumission-du-registre-dinformation-portail-edesk-ouvert-a-partir-du-11-fevrier-2026/.

Sources officielles

• CSSF — DORA: Délai de soumission du registre d’information (11 février 2026). https://www.cssf.lu/fr/2026/02/dora-delai-de-soumission-du-registre-dinformation-portail-edesk-ouvert-a-partir-du-11-fevrier-2026/ ; Mise à jour « collecte du registre » (17 mars 2026). https://www.cssf.lu/fr/2026/03/dora-collecte-du-registre-dinformation-mise-a-jour/ ; DORA – branches de pays tiers (17 février 2026). https://www.cssf.lu/fr/2026/02/dora-delai-de-soumission-du-registre-dinformation-pour-les-succursales-detablissements-de-credit-ayant-leur-siege-social-dans-un-pays-tiers/ ; Guide « error messages » (11 février 2026). https://www.cssf.lu/en/Document/guidance-for-interpretation-and-resolution-of-cssf-error-messages-related-to-the-submission-of-the-dora-register/.
• DORA (UE) 2022/2554 — texte EUR‑Lex, art. 28. https://eur-lex.europa.eu/legal-content/EN/ALL/?uri=CELEX%3A32022R2554 ; EBA « Article 28 » (Single Rulebook). https://www.eba.europa.eu/regulation-and-policy/single-rulebook/interactive-single-rulebook/17753.
• Règlement d’exécution (UE) 2024/2956 — modèles standard du registre d’informations (template). http://data.europa.eu/eli/reg_impl/2024/2956/oj.
• EIOPA — Q&A DORA102‑3097 (applicabilité aux succursales de pays tiers). https://www.eiopa.europa.eu/qa-regulation/questions-and-answers-database/dora102-3097_en.
• Commission européenne — Communication (NIS 2 art. 4): DORA comme acte sectoriel spécifique pour les entités financières. https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX%3A52023XC0918%2801%29.

En synthèse, l’« affaire » CSSF de mars 2026 n’est pas une sanction, mais un signal de supervision très clair: la qualité et l’exhaustivité du registre DORA art. 28 deviennent vérifiables et opposables, avec un calendrier strict et des contrôles techniques par les AES. Pour les dirigeants et DPO/CISO au Luxembourg, c’est désormais un chantier de données et de gouvernance contractuelle à part entière — à traiter avec la même rigueur qu’un reporting prudentiel. Pour un accompagnement pratique, contactez‑nous via la page prise de contact.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.