Chapitre 2 - Obligations de notification en vertu du règlement

Chapitre 2. Obligations de notification en vertu du règlement DORA

Sous-chapitre 2.1. Notification de projets d’accords contractuels portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes

11. Conformément à l’article 28, paragraphe 3, du règlement DORA, les Entités financières doivent informer en temps utile l’autorité compétente de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante.

12. Cette notification est effectuée en suivant les instructions et sur base des formulaires disponibles sur le site Internet de la CSSF.

13. Cette notification est à soumettre au moins trois (3) mois avant la prise d’effet de l’accord contractuel prévu. En cas de recours à un PSF de support luxembourgeois régi par les articles 29-3, 29-5 ou 29-6 de la LSF, ce délai de notification est réduit à un (1) mois. Tout projet d’accord contractuel qui n’a pas été notifié dans le délai de notification susmentionné et/ou pour lequel les instructions et, le cas échéant, les formulaires disponibles sur le site Internet de la CSSF n’ont pas été utilisés, sera considéré comme non notifié.

14. La notification est sans préjudice des mesures de surveillance ou de l’application de mesures contraignantes et/ou de sanctions administratives de l’autorité compétente dans le cadre de sa surveillance continue, lorsqu’il apparaît que ces projets ne se conforment pas au cadre légal et réglementaire applicable.

5 L'objectif de cette exigence est de garantir qu'en cas d'interruption soudaine des services fournis par le prestataire de services, les dernières positions sont connues et disponibles pour l'Entité financière au Luxembourg ou dans l'EEE. L'objectif n'est pas d'assurer la continuité de la fonction comptable. La sauvegarde peut donc être une copie/image, par exemple par simple extraction à partir du système, des positions comptables, y compris des positions des clients.

15. Dans tous les cas, les Entités financières demeurent pleinement responsables de la conformité avec l’ensemble des lois et des réglementations pertinentes en ce qui concerne les projets d’accords contractuels sur l’utilisation des services TIC.

Sous-chapitre 2.2. Registre d’informations

16. Conformément à l’article 28, paragraphe 3, du règlement DORA, les Entités financières doivent tenir et mettre à jour, au niveau de l’entité et aux niveaux sous-consolidé et consolidé, un registre d’informations en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.

17. Les Entités financières doivent soumettre leur registre à la CSSF annuellement au niveau individuel ou consolidé, le cas échéant6, comme expliqué plus en détail sur le site Internet de la CSSF.

18. Le registre de l'année n doit contenir tous les accords conclus jusqu'à la fin de l'année n et doit être soumis entre le 28 février et le 31 mars de l'année n+1 au plus tard, en suivant les instructions disponibles sur le site de la CSSF. Par voie de dérogation7, pour la première année de collecte (2025), le registre doit contenir tous les accords conclus jusqu'au 31 mars 2025 et doit être soumis entre le 1er avril 2025 et le 15 avril 2025.

19. Après toute demande de la CSSF de corriger une donnée du registre, les Entités financières doivent effectuer la correction demandée sans délai et soumettre le registre corrigé à la CSSF.

20. En dehors de la période de soumission officielle définie au point 18 ci-dessus, la CSSF se réserve le droit de demander le registre d'informations à tout moment.