Couverture Luxgap RGPD NIS 2 DORA AI Act Lanceurs d'alerte CSSF 22/806

Article 28

Principes généraux

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Principes généraux

1. Les entités financières gèrent les risques liés aux prestataires tiers de services TIC en tant que partie intégrante du risque lié aux TIC dans leur cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, et conformément aux principes suivants:

les entités financières qui ont conclu des accords contractuels pour l’utilisation de services TIC dans le cadre de leurs activités restent à tout moment pleinement responsables du respect et de l’exécution de toutes les obligations découlant du présent règlement et du droit applicable aux services financiers;

les entités financières gèrent les risques liés aux prestataires tiers de services TIC dans le respect du principe de proportionnalité, en tenant compte:

i)	de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC,

ii)

des risques découlant des accords contractuels portant sur l’utilisation de services TIC conclus avec des prestataires tiers de services TIC, compte tenu de la criticité ou de l’importance du service, du processus ou de la fonction en question, ainsi que des incidences potentielles de ces risques sur la continuité et la disponibilité des services et activités financiers, au niveau individuel et au niveau du groupe.

2. Aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières, autres que les entités visées à l’article 16, paragraphe 1, premier alinéa, et autres que les microentreprises, adoptent une stratégie en matière de risques liés aux prestataires tiers de services TIC et la réexaminent régulièrement, en tenant compte de la stratégie multi-fournisseurs visée à l’article 6, paragraphe 9, le cas échéant. La stratégie en matière de risques liés aux prestataires tiers de services TIC inclut une politique relative à l’utilisation des services TIC qui soutiennent des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC et s’applique sur une base individuelle et, le cas échéant, sur une base sous-consolidée et consolidée. Sur la base d’une évaluation du profil de risque global de l’entité financière ainsi que de l’ampleur et de la complexité des services, l’organe de direction examine régulièrement les risques identifiés en ce qui concerne les accords contractuels relatifs à l’utilisation des services TIC qui soutiennent des fonctions critiques ou importantes.

3. Aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières tiennent et mettent à jour, au niveau de l’entité et aux niveaux sous-consolidé et consolidé, un registre d’informations en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.

Les accords contractuels visés au premier alinéa sont dûment documentés, en opérant une distinction entre ceux qui couvrent des services TIC qui soutiennent des fonctions critiques et ceux qui ne le font pas.

Les entités financières communiquent au moins une fois par an aux autorités compétentes le nombre de nouveaux accords relatifs à l’utilisation de services TIC, les catégories de prestataires tiers de services TIC, le type d’accords contractuels et les services et fonctions de TIC qui sont fournis.

Les entités financières mettent à la disposition de l’autorité compétente, si elle en fait la demande, le registre d’informations complet ou, le cas échéant, des sections spécifiques de celui-ci, ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière.

Les entités financières informent en temps utile l’autorité compétente de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante.

4. Avant de conclure un accord contractuel sur l’utilisation de services TIC, les entités financières:

a)	déterminent si l’accord contractuel couvre l’utilisation de services TIC qui soutiennent une fonction critique ou importante;

b)	évaluent si les conditions de surveillance en matière de conclusion de contrats sont remplies;

c)	identifient et évaluent tous les risques pertinents ayant trait à l’accord contractuel, y compris la possibilité que cet accord contractuel contribue à accroître le risque de concentration informatique visé à l’article 29;

d)	font preuve de toute la diligence requise à l’égard des prestataires tiers de services TIC potentiels et s’assurent, tout au long des processus de sélection et d’évaluation, que les prestataires tiers de services TIC présentent les qualités requises;

e)	identifient et évaluent les conflits d’intérêts susceptibles de découler de l’accord contractuel.

5. Les entités financières ne peuvent conclure des accords contractuels qu’avec des prestataires tiers de services TIC qui respectent des normes adéquates en matière de sécurité de l’information. Lorsque ces accords contractuels portent sur des fonctions critiques ou importantes, les entités financières prennent en considération, avant la conclusion des accords, l’utilisation par les prestataires tiers de services TIC des normes les plus actualisées et les plus élevées en matière de sécurité de l’information.

6. Lorsqu’elles exercent leurs droits d’accès, d’inspection et d’audit à l’égard d’un prestataire tiers de services TIC, les entités financières déterminent au préalable, sur la base d’une approche fondée sur les risques, la fréquence des audits et des inspections, ainsi que les domaines qui doivent faire l’objet d’un audit, dans le respect des normes d’audit communément admises et conformément à toute instruction de surveillance relative à l’utilisation et à l’incorporation de ces normes d’audit.

Lorsque des accords contractuels conclus avec des prestataires tiers de services TIC impliquent un niveau élevé de complexité technique, l’entité financière vérifie que les auditeurs, qu’il s’agisse d’auditeurs internes ou externes ou d’un groupe d’auditeurs, possèdent les compétences et les connaissances requises pour réaliser efficacement les évaluations et les audits pertinents.

7. Les entités financières veillent à ce que les accords contractuels relatifs à l’utilisation de services TIC puissent être résiliés dans l’une des circonstances suivantes:

a)	le prestataire tiers de services TIC a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables;

le suivi des risques liés aux prestataires tiers de services TIC a révélé l’existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du prestataire tiers de services TIC;

le prestataire tiers de services TIC présente des faiblesses avérées liées à sa gestion globale du risque lié aux TIC et, en particulier, dans la manière dont il assure la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, qu’il s’agisse de données à caractère personnel ou autrement sensibles, ou de données à caractère non personnel;

d)	l’autorité compétente ne peut plus surveiller efficacement l’entité financière en raison des conditions de l’accord contractuel en question ou des circonstances qui y sont liées.

8. Pour les services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières mettent en place des stratégies de sortie. Les stratégies de sortie tiennent compte des risques susceptibles d’apparaître au niveau des prestataires tiers de services TIC, en particulier une éventuelle défaillance de leur part, une détérioration de la qualité des services TIC fournis, toute perturbation de l’activité due à une fourniture inappropriée ou défaillante de services TIC ou tout risque significatif découlant du déploiement approprié et continu du service TIC concerné, ou la résiliation d’accords contractuels conclus avec un prestataire tiers de services TIC dans l’une des circonstances énumérées au paragraphe 7.

Les entités financières veillent à ce qu’elles puissent se retirer des accords contractuels sans:

a)	perturber leurs activités;

b)	restreindre le respect des exigences réglementaires;

c)	porter atteinte à la continuité et à la qualité des services fournis aux clients.

Les plans de sortie sont complets et documentés et, conformément aux critères énoncés à l’article 4, paragraphe 2, sont soumis à des tests suffisants et réexaminés périodiquement.

Les entités financières définissent des solutions alternatives et élaborent des plans de transition leur permettant de supprimer les services TIC visés par le contrat et les données pertinentes détenues par le prestataire tiers de services TIC, et de les transférer en toute sécurité et intégralement à des prestataires alternatifs ou de les réincorporer en interne.

Les entités financières disposent des mesures d’urgence qui s’imposent pour maintenir la continuité des activités au cas où les circonstances visées au premier alinéa se présenteraient.

9. Les AES élaborent, agissant par l’intermédiaire du comité mixte, des projets de normes techniques d’exécution visant à mettre en place les modèles types aux fins du registre d’informations visé au paragraphe 3, y compris les informations communes à tous les accord contractuels relatifs à l’utilisation de services TIC. Les AES soumettent ces projets de normes techniques d’exécution à la Commission au plus tard le 17 janvier 2024.

Le pouvoir d’adopter les normes techniques d’exécution visées au premier alinéa est conféré à la Commission conformément à l’article 15 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

10. Les AES élaborent, agissant par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation pour préciser davantage le contenu détaillé de la stratégie visée au paragraphe 2 en ce qui concerne les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC.

Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Spécificité Luxembourg

loi luxembourgeoise du 1er juillet 2024 portant mise en œuvre du règlement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité compétente pour DORA pour la quasi-totalité du secteur financier (banques, PSF, fonds, gestionnaires AIFM, EMI, établissements de paiement), tandis que le CAA supervise les assurances et la réassurance. La loi du 1er juillet 2024 portant mise en œuvre de DORA confère à la CSSF des pouvoirs de sanction administrative, d'injonction et d'astreinte spécifiques, et précise les modalités de notification du registre d'informations via la plateforme eDesk de la CSSF. Le rapport annuel article 28(3) doit être transmis selon le calendrier publié par circulaire CSSF, distinct du calendrier ESAs.

Pratique Luxgap : connectez votre registre directement à eDesk via notre connecteur natif et anticipez la première remontée annuelle CSSF, qui sert systématiquement de point d'entrée aux inspections thématiques DORA.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 28 est le cœur opérationnel du chapitre V de DORA et la première chose que la CSSF vérifie lors d'une inspection sur place. Le piège n'est pas de signer des contrats : c'est de tenir un registre d'informations complet, à jour, distinguant les fonctions critiques ou importantes, et restituable en quelques jours quand l'autorité le demande. Les entités financières luxembourgeoises tombent sur trois écueils récurrents : un registre Excel statique qui diverge de la réalité contractuelle, l'absence de due diligence documentée avant signature, et l'oubli de notifier la CSSF lorsqu'une fonction devient critique en cours de contrat. La CSSF a déjà annoncé des contrôles thématiques DORA en 2025, et l'absence de registre conforme expose à des sanctions administratives sur le fondement de la loi du 1er juillet 2024.

Les 7 points que la CSSF vérifiera dans votre registre

Exhaustivité : chaque contrat TIC actif est-il inscrit, y compris les SaaS souscrits par carte corporate hors procédure achats ?
Qualification critique/important : la méthodologie est-elle documentée et appliquée de façon homogène ?
Chaîne de sous-traitance : les sous-traitants de vos prestataires (cloud sous-jacent, CDN, support offshore) sont-ils tracés ?
Risque de concentration article 29 : avez-vous identifié les fournisseurs uniques sur fonction critique ?
Standards de sécurité : ISO 27001, SOC 2 Type II, certifications à jour vérifiées avant signature ?
Droits d'audit : la fréquence et le périmètre sont-ils pré-définis selon une approche par les risques ?
Clauses de résiliation : couvrent-elles les six cas obligatoires du paragraphe 7 ?

Comment Luxgap automatise ce risque

Notre Luxgap DORA Vendor Sentinel transforme votre registre d'informations statique en système vivant qui détecte vos prestataires TIC réels, et non ceux que la procédure achats croit avoir validés. L'outil se branche en lecture seule sur votre comptabilité (Sage BOB 50, SAP, Odoo), votre Active Directory, Microsoft Cloud App Security, AWS Cost Explorer et vos boîtes mail achats pour reconstruire la cartographie complète des dépendances TIC en quelques heures, puis la maintient à jour en continu via un agent LLM qui lit chaque nouveau contrat signé et le qualifié automatiquement selon les critères article 28(4).

Détecte automatiquement chaque nouveau prestataire TIC dès qu'un paiement, une facture ou un accès cloud apparaît dans vos systèmes connectés, y compris le shadow IT souscrit hors procédure achats.
Classifie chaque contrat en fonction critique/importante via un agent IA qui lit le contrat, le SLA et le périmètre fonctionnel, en appliquant la grille EBA/ESMA/EIOPA et les orientations CSSF.
Génère automatiquement le registre d'informations au format ITS publié par les ESAs (15 templates), prêt à transmettre à la CSSF en un clic.
Alerte le RSSI et le management body dès qu'une fonction bascule en critique ou qu'un prestataire perd une certification (ISO 27001, SOC 2, HDS) via un webhook Teams ou Slack.
Calcule en continu votre score de concentration article 29 et identifié les fournisseurs uniques sur fonction critique avant qu'ils ne deviennent un problème de supervision.
Produit un dossier de pré-contractualisation horodaté (due diligence, évaluation des risques, conflits d'intérêts, vérification des standards de sécurité) opposable à la CSSF lors d'une inspection.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos prestataires réels, avec un audit blanc gratuit sous 48h pour matérialiser l'écart entre votre registre actuel et un registre conforme article 28.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Principes généraux

Ils nous font confiance

Avant de discuter