Coordination opérationnelle entre superviseurs principaux

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Afin de garantir une approche cohérente en matière d’activités de supervision et en vue de permettre la coordination des stratégies générales de supervision ainsi que des approches opérationnelles et des méthodes de travail cohérentes, les trois superviseurs principaux désignés conformément à l’article 31, paragraphe 1, point b), mettent en place un réseau de supervision commun pour assurer la coordination de leurs activités au cours des phases préparatoires et durant l’exécution des activités de supervision de leurs prestataires tiers critiques de services TIC respectifs qui font l’objet d’une supervision, ainsi qu’au cours de toute action qui pourrait s’avérer nécessaire en vertu de l’article 42.

2. Aux fins du paragraphe 1, les superviseurs principaux élaborent un protocole de supervision commun précisant les procédures détaillées à suivre pour assurer la coordination quotidienne et permettre des échanges et des réactions rapides. Le protocole est révisé périodiquement pour tenir compte des besoins opérationnels, en particulier de l’évolution des modalités pratiques de supervision.

3. Les superviseurs principaux peuvent, sur une base ad hoc, demander à la BCE et à l’ENISA de fournir des conseils techniques, de partager leur expérience pratique ou de participer à des réunions de coordination spécifiques du réseau de supervision commun.

Spécificité Luxembourg

loi luxembourgeoise du 21 juillet 2023 portant mise en oeuvre du reglement DORA, circulaires CSSF 22/806 et 24/847

Au Luxembourg, la CSSF est l'autorité competente désignée pour DORA (loi du 21 juillet 2023 portant mise en oeuvre du règlement DORA et modifiant la loi du 5 avril 1993 sur le secteur financier). Bien que l'article 34 organise la coordination entre les trois ESAs au niveau européen, la CSSF participe en pratique aux travaux du JON via les colleges de superviseurs et descend les recommandations directement aux entités financieres luxembourgeoises lors des revues SREP, ICAAP et contrôles thematiques TIC. La circulaire CSSF 22/806 sur l'externalisation et la circulaire CSSF 24/847 sur la gestion des risques TIC constituent les vehicules par lesquels les conclusions JON sont operationnalisees au Luxembourg.

Pratique Luxgap : integrez systématiquement les recommandations CSSF post-JON dans votre rapport annuel TIC remis au conseil d'administration, et tracez la chaîne de décision (recommandation JON -> circulaire CSSF -> action contractuelle) pour démontrer votre dispositif de veille réglementaire lors du prochain contrôle sur place.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 34 organise la coordination entre les trois superviseurs principaux (EBA, ESMA, EIOPA) via un réseau de supervision commun (JON). Ce n'est pas une obligation directe pour les entités financieres, mais le piège est ailleurs : les entités financieres luxembourgeoises sous CSSF qui s'appuient sur des prestataires TIC critiques (cloud hyperscaler, SaaS bancaire, fournisseur de données de marche) doivent comprendre que ces prestataires seront audites simultanement par les trois ESAs via un protocole commun, et que les conclusions du JON descendront jusqu'a la CSSF qui exigera des plans de remediation cote client. Sous-estimer cette mécanique conduit a decouvrir, lors d'une revue CSSF, que votre fournisseur critique a recu des recommandations JON non traitées dans vos contrats.

Ce que la mécanique JON change pour vous concretement

Les recommandations emises par le superviseur principal a votre prestataire critique deviennent un sujet de supervision indirecte : la CSSF verifiera que vous en tirez les conséquences contractuelles et opérationnelles.
Le protocole de supervision commun harmonise les methodologies des trois ESAs, donc une faiblesse identifiée sur AWS, Microsoft ou Google cote ESMA aura le même poids cote EBA, sans cloisonnement sectoriel.
La BCE et l'ENISA peuvent être associees ad hoc : un sujet de cybersecurite identifié chez votre prestataire pourra remonter via ENISA dans le cadre NIS 2, et via BCE dans le cadre du MSU pour les banques significatives.
Les entités financieres LU doivent intégrer dans leur registre d'information (article 28) le statut de criticite désigné et les actions de remediation post-JON, sous peine de notation defavorable lors de la revue annuelle CSSF.
Toute action article 42 (recommandations contraignantes au prestataire) doit déclencher cote client une évaluation d'impact : faut-il activer la strategie de sortie, renegocier les SLA, exiger une attestation supplementaire ?

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Signal Radar transforme la mécanique JON opaque en flux d'alertes exploitables par votre RCSI et votre DPO. L'outil surveille en continu les publications EBA, ESMA, EIOPA, BCE et ENISA, croise les références aux prestataires TIC critiques désignés et fait remonter automatiquement les recommandations qui touchent VOS fournisseurs reels identifiés dans Odoo, ServiceNow, ITAM Microsoft ou votre registre DORA article 28.

Detecte chaque publication officielle des trois ESAs et des autorités associees (BCE, ENISA, CSSF) mentionnant un prestataire critique désigné, en moins de 24 heures apres parution.
Croise automatiquement la liste des prestataires CTPP avec votre cartographie reelle issue des connecteurs M365, AWS Organizations, Google Workspace Admin, Azure Cost Management et contrats Odoo.
Genere une fiche d'impact par recommandation JON detectee : prestataire concerne, contrats LU exposes, clauses article 30 a renegocier, strategie de sortie article 28(8) a reactiver.
Alerte le RCSI via Teams ou Slack des qu'une action article 42 est publiee contre un prestataire que vous utilisez, avec le projet de courrier prepare pour le prestataire.
Produit un rapport trimestriel horodate opposable a la CSSF, demontrant que votre dispositif de veille supervision est actif et que les recommandations JON ont ete tracees et traitées.
Maintient l'historique cryptographiquement scelle des décisions prises a chaque recommandation, prouvant la diligence raisonnable article 28(2) en cas de contrôle.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre perimetre regule. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle de prestataires TIC, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux prestataires critiques deja désignés.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Coordination opérationnelle entre superviseurs principaux

Ils nous font confiance

Avant de discuter