DORA, article 28 : le « registre des dépendances ICT » attendu par la CSSF

Excerpt — Depuis le 17 janvier 2025, toutes les entités financières soumises à DORA doivent tenir un registre structuré de leurs contrats ICT. La CSSF a précisé le calendrier et les modalités de soumission au Luxembourg. Voici ce que les dirigeants doivent exiger.

La règle générale

Le Règlement (UE) 2022/2554 dit « DORA » impose, à l’article 28, l’obligation pour chaque entité financière de tenir et maintenir à jour un registre d’information couvrant « l’ensemble des conventions contractuelles concernant l’utilisation de services TIC fournis par des prestataires tiers », avec un niveau de détail renforcé pour les fonctions « critiques ou importantes ». Ce registre doit exister aux niveaux entité, sous‑consolidé et consolidé, et être communiqué à l’autorité compétente selon des formats harmonisés fixés par les normes techniques d’exécution (ITS). Texte de référence: Règlement (UE) 2022/2554 (voir art. 28).

Les ITS qui précisent les « templates » du registre ont été adoptées et publiées au Journal officiel de l’UE; l’EBA centralise les documents de préparation (gabarits, règles de validation, FAQ) sur sa page DORA. Voir EBA – Preparations for reporting of DORA registers of information. L’EBA rappelle que l’article 28(9) habilite les AES (EBA, ESMA, EIOPA) à développer ces ITS et détaille les champs attendus pour les arrangements soutenant des fonctions critiques ou importantes. Voir également les Q&A officielles de l’EBA sur l’article 28 (ex. 2024_7098 et 2025_7309).

Ce que dit le régulateur (Luxembourg et UE)

• CSSF. Au Luxembourg, la CSSF a confirmé l’entrée en application de DORA le 17 janvier 2025 et la primauté de DORA (et de ses RTS/ITS publiés au JOUE) sur les éléments des circulaires CSSF qui se chevauchent. Elle a aussi précisé l’organisation pratique du reporting (LEI, rôles eDesk, fenêtres de soumission). Voir le communiqué « Entry into application of DORA regulation on 17 January 2025 » et rappels de préparation publiés les 5 décembre 2024 et 15 janvier 2025 (CSSF – Entry into application; CSSF – Reminders and advice).
• Fenêtre de soumission 2025. Pour le premier envoi au niveau national vers les AES, la CSSF a ouvert le portail eDesk et fixé une fenêtre de dépôt du registre d’information entre le 1er et le 15 avril 2025, conformément à la décision conjointe des AES (ESA 2024 22) sur la collecte d’information en vue de la désignation des prestataires ICT « critiques ». Voir « DORA – Submission timeframe for register of information – eDesk Portal open as of 1 April 2025 » (CSSF – Submission timeframe) et la décision ESA 2024 22 (ESAs – Timeline; décision PDF ESA 2024 22).
• Gabarits/contrôles techniques. L’EBA publie les modèles de données (xBRL‑CSV), règles de validation et contrôles métiers pour le registre (mise à jour 28 avril 2025) sur sa page « Preparations for reporting of DORA registers of information » (EBA – Preparations).
• Articulations avec circulaires CSSF. La CSSF rappelle que certaines obligations préexistantes (p. ex. notifications sous CSSF 22/806) continuent à s’appliquer mais que DORA prime en cas de recouvrement. Voir Circulaire CSSF 22/806 et rappel de primauté dans le communiqué du 17/01/2025 (CSSF).

Comment l’appliquer en pratique

Objectif managérial: disposer d’un inventaire fiable et « reportable » de toutes les dépendances contractuelles ICT, capable de distinguer celles qui soutiennent des fonctions critiques ou importantes (CIF) et d’évidencer les clauses exigées par DORA.

Avant (cadrage et gouvernance)

1. Définir la notion interne de « fonction critique ou importante » alignée sur DORA et la pratique prudentielle (critères de continuité, impact client/système, substituabilité). Documenter la méthode de classification. Base légale: art. 28(2) DORA; voir aussi la page EBA de préparation (EBA).
2. Arrêter un modèle de données conforme aux ITS (entités, contrats, services, localisations de données, sous‑traitants en chaîne, SLA, droits d’audit, réversibilité, tests/DRP, etc.). Réutiliser les gabarits EBA pour éviter des reconversions ultérieures (EBA – Templates/validation).
3. Nommer un propriétaire du registre (Risk/ICT TPRM) avec des flux d’alimentation depuis Achats, Juridique, IT, Sécurité, Continuité. Prévoir l’identification LEI des contreparties quand disponible (rappel CSSF, 05/12/2024; CSSF).

Pendant (constitution et qualité des données)

4. Cartographier les contrats existants avec prestataires ICT, y compris « shadow IT » et services gratuits/essai s’ils soutiennent une fonction. Capturer pour chaque arrangement: identifiants du prestataire (raison sociale, LEI si dispo), description du service, systèmes/fonctions supportés, localisation des données, transferts hors UE, clauses essentielles (disponibilité, sécurité, notification d’incident, audit/accès, sous‑traitance, réversibilité/sortie), date/renouvellement. Base: art. 28(3) DORA; voir Q&A EBA 2025_7388 sur l’absence d’exemption (EBA Q&A).
5. Identifier les CIF et vérifier les « clauses DORA »: droits d’audit proportionnés, KPIs/SLAs mesurables, exigences de sécurité, plans d’exit et tests périodiques. Croiser avec les RTS/ITS applicables et les attentes CSSF (primauté DORA confirmée le 17/01/2025; CSSF).
6. Préparer l’export eDesk: respecter les contrôles de validation EBA (formats de dates, référentiels pays/codes, unicité des identifiants). Utiliser les guides EBA (overview des checks, mis à jour le 28/04/2025; EBA – Preparations).

Après (exploitation et cycle de vie)

7. Maintien en condition opérationnelle: intégrer le registre au processus d’onboarding/fournisseurs et de revue annuelle; toute modification contractuelle ou de périmètre de service déclenche une mise à jour. Les Q&A EBA indiquent que l’obligation de maintien est continue et que des communications ad hoc peuvent être requises par l’autorité (voir EBA 2025_7309).
8. Cohérence « groupe »: produire les vues entité/sous‑consolidée/consolidée. Les questions de périmètre hors UE sont traitées dans la FAQ EBA (réf. art. 28(3); EBA 2024_7098).
9. Interactions « CTPP »: les AES utilisent ces données (via les autorités nationales) pour désigner et superviser les prestataires ICT « critiques » (CTPP) au titre des art. 31 et s. Voir la décision ESA 2024 22 et communications ESMA/EIOPA (ESAs – Timeline).

Exemple concret (banque de détail au Luxembourg)

• Périmètre: core banking SaaS, paiement cartes, open banking API gateway, KYC/AML cloud, SOC externalisé, IaaS hyperscaler.
• Étapes:
  1. Classifier CIF: core banking, cartes, KYC/AML, API gateway.
  2. Régler les écarts contractuels: ajouter clauses d’audit proportionné et de sous‑traitance en chaîne; préciser RTO/RPO; localisation et transferts; modalités d’« early termination » en cas d’ordre de l’autorité (cf. pouvoirs de suspension/termination issus du cadre de supervision des CTPP).
  3. Charger les données dans les templates EBA; tester la validation; générer l’export eDesk; conserver la traçabilité des sources (contrats, annexes, DPIA/NIA le cas échéant). Réfs: EBA – Templates; CSSF – eDesk.

Pièges fréquents

1. Sous‑estimer le périmètre: ne recenser que l’outsourcing « critique » de type CSSF 22/806 et oublier des services cloud/outils DevOps/support applicatif qui soutiennent indirectement une CIF. Or l’article 28(3) couvre « toutes » les conventions TIC, avec granularité accrue pour les CIF. Réf. EBA 2025_7388.
2. Données incomplètes/incohérentes: absence d’identifiants (LEI), de localisation précise des données, de chaîne de sous‑traitance, ou d’information sur les clauses d’audit/sortie. Les contrôles EBA rejettent des fichiers non conformes. Réf. EBA – Validation rules.
3. Confusion avec les notifications historiques: tenter de (re)soumettre au titre de CSSF 22/806 des contrats qui ne sont pas « critiques » au sens de cette circulaire. Depuis le 17/01/2025, DORA et ses ITS priment pour le registre; les notifications CSSF existantes ne remplacent pas le registre DORA. Réf. CSSF – Entry into application.
4. Gouvernance « one‑shot »: produire un inventaire unique pour la fenêtre d’avril 2025 sans instaurer un processus de mise à jour continue ni alignement groupe/consolidé. L’obligation de tenue est pérenne. Réf. EBA 2025_7309.
5. Mauvaise identification des CIF: absence de méthodologie décisionnelle (impact, substituabilité, dépendances croisées). Résultat: contrats critiques non « taggés » et clauses DORA manquantes, exposant à des injonctions/sanctions. Base: art. 28(2) DORA; voir ressources EBA.

Sources officielles

• Règlement (UE) 2022/2554 (DORA) – texte intégral (art. 28, 31, etc.) — eur‑lex.europa.eu.
• EBA – Preparations for reporting of DORA registers of information (templates, validation rules, FAQ, mises à jour 2025) — eba.europa.eu.
• EBA Single Rulebook – Article 28 (dépôt des questions/réponses officielles) — eba.europa.eu.
• CSSF – Entry into application of DORA regulation on 17 January 2025 — cssf.lu.
• CSSF – DORA Regulation: reminders and advice on preparedness (05/12/2024) — cssf.lu.
• CSSF – DORA: Submission timeframe for register of information; eDesk (avril 2025) — cssf.lu.
• Décision conjointe des AES ESA 2024 22 – collecte d’information pour la désignation des CTPP — esma.europa.eu et texte PDF — eba.europa.eu.
• Circulaire CSSF 22/806 (contexte outsourcing; rappel de la primauté DORA par la CSSF) — cssf.lu.

En mai 2026, le « registre DORA » n’est plus un exercice ponctuel : c’est une pièce vivante de votre gouvernance des risques ICT. Les dirigeants doivent vérifier que la donnée est complète, vérifiable et réutilisable à tout moment pour les transmissions CSSF/AES.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.