Je dois mettre mon organisation luxembourgeoise en conformité à l'article 43 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 43 ne s'adresse pas directement aux entités financières mais aux prestataires tiers critiques de services TIC (CTPP) désignés par les ESAs. Le piège pour une banque, une fintech CSSF ou un gestionnaire AIFM luxembourgeois est ailleurs : ces redevances de supervision payées par les hyperscalers (AWS, Microsoft, Google, Oracle) sont systématiquement refacturées en aval via les contrats cloud, sans que le client financier ne le voie venir. La CSSF ne sanctionné pas le défaut de paiement de la redevance (ce n'est pas votre obligation), mais elle contrôle votre capacité à démontrer la maîtrise économique de votre dépendance TIC critique au titre des articles 28 et 29.Ce que cet article change pour vos contrats cloudLes CTPP désignés répercuteront la redevance dans leurs grilles tarifaires : attendez-vous à des avenants unilatéraux invoquant un regulatory pass-through.L'acte délégué (adopté en 2024) fixe la redevance proportionnelle au chiffre d'affaires du CTPP, ce qui rend la répercussion mécanique mais opaque.Vos clauses contractuelles article 30 DORA doivent prévoir un droit d'audit sur cette refacturation, sinon vous payez sans visibilité.La CSSF attend que votre comité des risques TIC ait quantifié l'impact budgétaire pluriannuel des redevances dans le TCO de vos prestataires critiques.Le piège dérivé : refuser un avenant de répercussion peut être qualifié de motif de résiliation par le CTPP, créant un risque de sortie non maîtrisée (article 28(8)).Comment Luxgap automatise ce risqueNotre Luxgap Oversight Cost Tracker transforme la redevance article 43 en variable budgétaire pilotée, et non en mauvaise surprise sur la facture cloud du trimestre suivant. L'outil se connecte à vos contrats fournisseurs (Ivalua, SAP Ariba, Coupa, Odoo), à vos factures cloud (AWS Cost Explorer, Azure Cost Management, GCP Billing) et au registre officiel des CTPP désignés par les ESAs, pour détecter automatiquement chaque ligne de refacturation liée aux redevances de supervision DORA.Identifié automatiquement, dans votre portefeuille fournisseurs, quels prestataires figurent sur la liste officielle des CTPP désignés par les ESAs et alerte dès qu'un nouveau prestataire y entre.Détecte les avenants contractuels invoquant un regulatory pass-through ou DORA oversight fee par analyse sémantique des nouveaux PDF déposés dans votre DMS (SharePoint, DocuWare, M-Files).Calcule le coût annualisé de la répercussion par CTPP, ventilé par entité juridique et par fonction critique, et alimente directement votre registre d'information article 28(3).Génère un rapport trimestriel opposable à la CSSF démontrant le contrôle économique de la dépendance TIC critique, conforme aux attentes du comité des risques.Alerte le DSI et le CFO via Teams ou Slack dès qu'une refacturation dépasse un seuil défini, avec un projet d'avenant de contre-négociation prérédigé.Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon la taille de votre por...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 43

Redevances de supervision

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Redevances de supervision

1. Conformément à l’acte délégué visé au paragraphe 2 du présent article, le superviseur principal perçoit, auprès des prestataires tiers critiques de services TIC, des redevances qui couvrent intégralement les dépenses que le superviseur principal doit engager pour exercer les tâches de supervision que lui assigne le présent règlement, y compris le remboursement de tous les coûts pouvant résulter des travaux effectués par l’équipe d’examen conjoint visée à l’article 40, ainsi que les coûts des conseils fournis par les experts indépendants visés à l’article 32, paragraphe 4, deuxième alinéa, en rapport avec les questions liées aux activités de supervision directes.

Le montant de la redevance perçue auprès d’un prestataire tiers critique de services TIC couvre tous les frais afférents à l’exécution des tâches exposées dans la présente section et est proportionnel à son chiffre d’affaires.

2. La Commission est habilitée à adopter un acte délégué conformément à l’article 57 pour compléter le présent règlement en déterminant le montant des redevances et leurs modalités de paiement au plus tard le 17 juillet 2024.

Spécificité Luxembourg

CSSF Circulaire 24/847 relative au cadre de notification des incidents TIC et attentes prudentielles DORA

Au Luxembourg, la CSSF est l'autorité compétente DORA pour les entités financières de la Place, mais elle n'est pas le superviseur principal (Lead Overseer) au sens de l'article 43 : ce rôle est exercé par l'une des trois ESAs (EBA, ESMA, EIOPA) selon le secteur dominant du CTPP. La CSSF, via sa circulaire 24/847 sur la notification des incidents TIC et ses attentes prudentielles sur l'externalisation, contrôle en revanche la traçabilité économique de la dépendance aux CTPP dans le cadre du SREP et des inspections sur site.

Pratique Luxgap : pour les banques et PSF luxembourgeois fortement dépendants d'Azure ou AWS (régions Europe-West), nous documentons systématiquement la répercussion de la redevance dans le dossier d'externalisation CSSF afin de prévenir toute observation lors des contrôles thématiques sur la résilience opérationnelle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 43 ne s'adresse pas directement aux entités financières mais aux prestataires tiers critiques de services TIC (CTPP) désignés par les ESAs. Le piège pour une banque, une fintech CSSF ou un gestionnaire AIFM luxembourgeois est ailleurs : ces redevances de supervision payées par les hyperscalers (AWS, Microsoft, Google, Oracle) sont systématiquement refacturées en aval via les contrats cloud, sans que le client financier ne le voie venir. La CSSF ne sanctionné pas le défaut de paiement de la redevance (ce n'est pas votre obligation), mais elle contrôle votre capacité à démontrer la maîtrise économique de votre dépendance TIC critique au titre des articles 28 et 29.

Ce que cet article change pour vos contrats cloud

Les CTPP désignés répercuteront la redevance dans leurs grilles tarifaires : attendez-vous à des avenants unilatéraux invoquant un regulatory pass-through.
L'acte délégué (adopté en 2024) fixe la redevance proportionnelle au chiffre d'affaires du CTPP, ce qui rend la répercussion mécanique mais opaque.
Vos clauses contractuelles article 30 DORA doivent prévoir un droit d'audit sur cette refacturation, sinon vous payez sans visibilité.
La CSSF attend que votre comité des risques TIC ait quantifié l'impact budgétaire pluriannuel des redevances dans le TCO de vos prestataires critiques.
Le piège dérivé : refuser un avenant de répercussion peut être qualifié de motif de résiliation par le CTPP, créant un risque de sortie non maîtrisée (article 28(8)).

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Cost Tracker transforme la redevance article 43 en variable budgétaire pilotée, et non en mauvaise surprise sur la facture cloud du trimestre suivant. L'outil se connecte à vos contrats fournisseurs (Ivalua, SAP Ariba, Coupa, Odoo), à vos factures cloud (AWS Cost Explorer, Azure Cost Management, GCP Billing) et au registre officiel des CTPP désignés par les ESAs, pour détecter automatiquement chaque ligne de refacturation liée aux redevances de supervision DORA.

Identifié automatiquement, dans votre portefeuille fournisseurs, quels prestataires figurent sur la liste officielle des CTPP désignés par les ESAs et alerte dès qu'un nouveau prestataire y entre.
Détecte les avenants contractuels invoquant un regulatory pass-through ou DORA oversight fee par analyse sémantique des nouveaux PDF déposés dans votre DMS (SharePoint, DocuWare, M-Files).
Calcule le coût annualisé de la répercussion par CTPP, ventilé par entité juridique et par fonction critique, et alimente directement votre registre d'information article 28(3).
Génère un rapport trimestriel opposable à la CSSF démontrant le contrôle économique de la dépendance TIC critique, conforme aux attentes du comité des risques.
Alerte le DSI et le CFO via Teams ou Slack dès qu'une refacturation dépasse un seuil défini, avec un projet d'avenant de contre-négociation prérédigé.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon la taille de votre portefeuille TIC critique. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos contrats cloud réels, avec un audit blanc gratuit sous 48h pour chiffrer votre exposition aux répercussions de redevances avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Redevances de supervision

Ils nous font confiance

Avant de discuter