Le piège classique
L'article 34 organise la coordination entre les trois superviseurs principaux des ESAs au sein d'un réseau de supervision commun (JON). C'est un article institutionnel, qui ne s'adresse pas directement aux entités financieres : il structure la machine de supervision des prestataires tiers critiques de services TIC. Le piège pour une entité régulée CSSF n'est donc pas un manquement direct, mais un angle mort stratégique : croire que, parce qu'un prestataire critique (cloud hyperscaler, fournisseur SaaS de cotation, datacenter eBRC) est supervisé au niveau européen, l'entité financiere qui l'utilise est déchargée de sa propre responsabilité. C'est faux. La supervision du JON ne remplace jamais votre gestion contractuelle et opérationnelle du risque tiers au titre des articles 28 a 30 DORA et de la circulaire CSSF 25/882.
Pourquoi cet article concerne quand même votre conformité
Le JON coordonne les recommandations adressées aux prestataires tiers critiques. Ces recommandations descendent ensuite jusqu'à vous, par effet de chaîne. Trois conséquences pratiques pour une banque privée ou une fintech régulée CSSF :
- Une recommandation du superviseur principal a votre fournisseur cloud peut déclencher une obligation de réaction de votre coté (revue contractuelle, plan de sortie, stratégie multi-fournisseurs au titre de l'article 28(8) DORA).
- L'article 42 DORA permet aux autorités compétentes, dont la CSSF, de tirer les conséquences d'une non-prise en compte des recommandations par un prestataire critique, y compris en exigeant que vous suspendiez ou résiliiez le recours a ce prestataire.
- Vous devez tracer en continu quels de vos prestataires sont, ou risquent de devenir, des prestataires tiers critiques désignés par les ESAs, car le régime de supervision change tout votre dispositif de pilotage.
Le véritable risque sanctionné par la CSSF n'est pas l'article 34 lui-meme, mais l'incapacité a démontrer que vous suivez les recommandations du superviseur principal et que votre registre d'information (article 28(3) DORA) identifié correctement la criticité de chaque prestataire.
Comment Luxgap automatise ce risque
Notre Luxgap Oversight Signal Tracker transforme la supervision européenne abstraite du JON en alertes concretes et actionnables pour votre dispositif DORA. L'outil surveille en continu les désignations de prestataires tiers critiques publiées par les ESAs et les recommandations associées, puis les croise automatiquement avec votre registre d'information et vos contrats Odoo, ServiceNow ou Sage BOB 50 pour identifier instantanément quels de vos fournisseurs sont concernés, sans que votre CISO n'ait a surveiller manuellement les publications de l'ABE, de l'AEMF et de l'AEAPP.
- Détecte automatiquement chaque nouvelle désignation de prestataire tiers critique par les ESAs et alerte par Teams ou email lorsqu'un de vos fournisseurs actifs entre dans le périmetre du superviseur principal.
- Croise les recommandations du réseau de supervision commun avec votre registre d'information DORA pour matérialiser les actions de mise en conformité qui retombent sur vous.
- Calcule un score de probabilité qu'un fournisseur soit désigné critique a 12 mois, basé sur sa part dans votre chaîne TIC, sa substituabilité et son empreinte sectorielle.
- Génere un plan de sortie préformaté et une stratégie multi-fournisseurs au titre de l'article 28(8) DORA des qu'un risque de concentration est détecté.
- Produit un rapport PDF horodaté, opposable a la CSSF lors d'un contrôle, démontrant que vous suivez les recommandations du JON et l'évolution de la criticité de vos prestataires.
Disponible en complément d'un mandat DPO ou CISO Luxgap ou en brique SaaS dédiée selon votre périmetre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre registre d'information réel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux prestataires critiques avant tout engagement.