DORA — Succursales de pays tiers: registre TIC à remettre d’ici le 30 juin

La CSSF confirme que les succursales luxembourgeoises de banques ayant leur siège dans un pays tiers doivent soumettre leur « registre d’informations » relatif aux prestataires TIC au plus tard le 30 juin 2026 (best effort), via le portail eDesk.

Les faits

Par communiqué du 17 février 2026, rappelé le 21 mars 2026, la CSSF précise que ces succursales relèvent de l’obligation de dépôt du registre TIC et bénéficient d’un délai étendu au 30 juin 2026 (vs. 31 mars 2026 pour l’échéance générale).

Cadre légal et fondement

• DORA, art. 28(3): obligation de tenir un registre couvrant tous les accords contractuels avec des prestataires TIC aux niveaux individuel, sous‑consolidé et consolidé. Voir le rappel du fondement sur notre page DORA et registre des informations.
• Clarifications des ESA (Q&A DORA102 – 3097) reprises par la CSSF et applicables aux succursales de pays tiers, avec délai de soumission étendu au 30 juin 2026.

Ce que cela change pour les entreprises luxembourgeoises

• Périmètre: toute succursale luxembourgeoise d’un établissement de crédit hors UE, supervisée par la CSSF, est attendue sur un registre exhaustif couvrant l’ensemble de la chaîne d’externalisation (cloud, infogérance, SaaS critiques, SOC/MDR, connectivité, etc.). Pour le contexte local, voir DORA au Luxembourg et attentes CSSF.
• Risque: en cas de non‑soumission ou d’incomplétude, mesures de remédiation possibles par la CSSF, restrictions d’activités, ou réduction d’une dépendance TIC non maîtrisée. Le registre alimente directement l’évaluation des risques, la continuité et la gestion des incidents.
• Délai: à la date de publication (26 juin 2026), il reste 4 jours ouvrés pour finaliser et déposer sur eDesk, en veillant à la cohérence entre niveaux individuel/sous‑consolidé/consolidé.

Actions concrètes à entreprendre cette semaine

1) Cartographier et compléter le registre

• Consolider tous les accords TIC (contrats, bons de commande, addenda), y compris les sous‑traitants en cascade.
• Pour chaque relation: objet, données/actifs, localisation, clauses résilience/sécurité/audit, criticité, durée, modalités de sortie.

2) Évaluer la criticité et les risques

• Classer l’impact (disponibilité, intégrité, confidentialité), relever les mesures (chiffrement, sauvegardes, MFA, journalisation), plans de continuité/reprise et audits/certifications (ISO 27001, SOC 2).
• Documenter l’analyse de risque et les mesures compensatoires. Si besoin d’appui sur la résilience, consultez nos services plan de continuité et DORA résilience.

3) Finaliser la gouvernance et soumettre

• Validation par l’organe de direction ou comité désigné.
• Vérifier la cohérence entre niveaux (entité/sous‑consolidé/consolidé) et déposer via eDesk avant le 30 juin 2026.
• Prévoir une mise à jour continue (revue trimestrielle) et conserver les évidences (contrats, DPIA/AIPD, clauses d’audit/notification d’incident).

En résumé

Le registre TIC DORA devient une pièce maîtresse de la gouvernance des tiers pour les succursales de pays tiers au Luxembourg. L’exhaustivité, la traçabilité et l’alignement groupe sont essentiels pour respecter les attentes de la CSSF dans les temps.

Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.