Je dois mettre mon organisation luxembourgeoise en conformité à l'article 44 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 44 visé les AES (ABE, AEMF, AEAPP) et leur coopération avec les autorités de pays tiers, mais le piège retombe directement sur les entités financières luxembourgeoises supervisées par la CSSF. Quand un prestataire TIC critique est hors UE (typiquement un hyperscaler US, un éditeur SaaS britannique, un centre de support en Inde), votre dossier de surveillance doit anticiper que la CSSF, relayée par les AES, peut interroger l'autorité du pays tiers sur les pratiques de gestion du risque TIC de ce prestataire. Ce que les régulateurs sanctionnent en pratique : l'incapacité à démontrer que vous avez intégré la dimension géopolitique et juridictionnelle dans votre cartographie des prestataires tiers, et que vous savez réagir si un accord administratif AES/pays tiers révèle une faiblesse chez un fournisseur que vous utilisez.Les angles morts du dispositif pays tiersEmpilement juridictionnel : un éditeur SaaS irlandais qui héberge sur AWS Francfort, exploité depuis Bangalore, supervisé par une maison-mère au Delaware. Quelle autorité contacte l'AES en cas d'incident ?Cohérence avec l'article 28 : votre registre des accords contractuels TIC doit clairement identifier le pays d'établissement, le pays d'exécution et le pays d'accès aux données, sinon vous ne pouvez pas répondre à une question CSSF transmise par les AES.Articulation avec le chapitre V section II : si votre prestataire est désigné critique par les AES, les conclusions des discussions internationales remontent dans le cadre de surveillance et peuvent déclencher des recommandations contraignantes.Transferts de données RGPD : la coopération DORA n'efface pas Schrems II et le DPF, vous devez tenir les deux registres cohérents.Mises à jour silencieuses : les bonnes pratiques publiées par les AES après échange avec la SEC, la FCA ou la MAS deviennent de facto le standard attendu par la CSSF.Comment Luxgap automatise ce risqueNotre Luxgap Cross-Border ICT Watchtower élimine l'angle mort géopolitique de votre registre DORA en cartographiant en temps réel la chaîne juridictionnelle complète de chaque prestataire TIC, des sous-sous-traitants jusqu'aux pays d'accès effectif aux données. L'outil croise vos contrats Ariba, vos flux Microsoft Purview, vos logs Cloud App Security et les bases publiques (registres d'entreprises US, Companies House UK, MAS Singapore, ASIC Australia) pour matérialiser la réalité juridictionnelle que votre formulaire fournisseur déclaratif ne capte jamais.Détecte automatiquement quand un prestataire TIC change de structure capitalistique ou ouvre un centre opérationnel dans un nouveau pays tiers, en surveillant les registres publics et les communiqués financiers.Classifie chaque prestataire selon une matrice juridictionnelle à trois axes (siège, hébergement, accès opérationnel) et calcule un score d'exposition pays tiers aligné sur les attentes CSSF.Synchronise les publications de bonnes pratiques des AES et de la CSSF avec votre référentiel inter...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 44

Coopération internationale

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Coopération internationale

1. Sans préjudice de l’article 36, l’ABE, l’AEMF et l’AEAPP peuvent, conformément à l’article 33 des règlements (UE) no 1093/2010, (UE) no 1095/2010 et (UE) no 1094/2010, respectivement, conclure des accords administratifs avec les autorités de réglementation et de surveillance de pays tiers afin de faciliter la coopération internationale en ce qui concerne les risques liés aux prestataires tiers de services TIC dans différents secteurs financiers, en particulier en élaborant des bonnes pratiques pour l’examen des pratiques et des contrôles en matière de gestion du risque lié aux TIC, des mesures d’atténuation et des réponses apportées en cas d’incident.

2. Les AES remettent tous les cinq ans au Parlement européen, au Conseil et à la Commission, par l’intermédiaire du comité mixte, un rapport conjoint confidentiel qui résume les conclusions de leurs discussions en la matière avec les autorités de pays tiers visées au paragraphe 1 et qui met l’accent sur l’évolution du risque lié aux prestataires tiers de services TIC et sur ses implications pour la stabilité financière, l’intégrité du marché, la protection des investisseurs et le fonctionnement du marché intérieur.

Spécificité Luxembourg

circulaire CSSF 22/806 du 22 avril 2022 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF est l'autorité compétente pour DORA dans le secteur financier et relaie les attentes des AES vers les entités supervisées via ses circulaires (notamment la circulaire CSSF 22/806 sur l'externalisation, qui reste applicable en articulation avec DORA). Le régulateur luxembourgeois est particulièrement vigilant sur les chaînes d'externalisation impliquant des centres de support hors UE, courantes dans la Place financière, et attend une cartographie juridictionnelle complète au-delà du seul siège contractuel du prestataire.

Pratique Luxgap : alignez dès maintenant votre registre DORA article 28 avec les exigences de la circulaire CSSF 22/806 et préparez une fiche pays tiers par prestataire critique, prête à être transmise lors du prochain SREP ICT.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 44 visé les AES (ABE, AEMF, AEAPP) et leur coopération avec les autorités de pays tiers, mais le piège retombe directement sur les entités financières luxembourgeoises supervisées par la CSSF. Quand un prestataire TIC critique est hors UE (typiquement un hyperscaler US, un éditeur SaaS britannique, un centre de support en Inde), votre dossier de surveillance doit anticiper que la CSSF, relayée par les AES, peut interroger l'autorité du pays tiers sur les pratiques de gestion du risque TIC de ce prestataire. Ce que les régulateurs sanctionnent en pratique : l'incapacité à démontrer que vous avez intégré la dimension géopolitique et juridictionnelle dans votre cartographie des prestataires tiers, et que vous savez réagir si un accord administratif AES/pays tiers révèle une faiblesse chez un fournisseur que vous utilisez.

Les angles morts du dispositif pays tiers

Empilement juridictionnel : un éditeur SaaS irlandais qui héberge sur AWS Francfort, exploité depuis Bangalore, supervisé par une maison-mère au Delaware. Quelle autorité contacte l'AES en cas d'incident ?
Cohérence avec l'article 28 : votre registre des accords contractuels TIC doit clairement identifier le pays d'établissement, le pays d'exécution et le pays d'accès aux données, sinon vous ne pouvez pas répondre à une question CSSF transmise par les AES.
Articulation avec le chapitre V section II : si votre prestataire est désigné critique par les AES, les conclusions des discussions internationales remontent dans le cadre de surveillance et peuvent déclencher des recommandations contraignantes.
Transferts de données RGPD : la coopération DORA n'efface pas Schrems II et le DPF, vous devez tenir les deux registres cohérents.
Mises à jour silencieuses : les bonnes pratiques publiées par les AES après échange avec la SEC, la FCA ou la MAS deviennent de facto le standard attendu par la CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border ICT Watchtower élimine l'angle mort géopolitique de votre registre DORA en cartographiant en temps réel la chaîne juridictionnelle complète de chaque prestataire TIC, des sous-sous-traitants jusqu'aux pays d'accès effectif aux données. L'outil croise vos contrats Ariba, vos flux Microsoft Purview, vos logs Cloud App Security et les bases publiques (registres d'entreprises US, Companies House UK, MAS Singapore, ASIC Australia) pour matérialiser la réalité juridictionnelle que votre formulaire fournisseur déclaratif ne capte jamais.

Détecte automatiquement quand un prestataire TIC change de structure capitalistique ou ouvre un centre opérationnel dans un nouveau pays tiers, en surveillant les registres publics et les communiqués financiers.
Classifie chaque prestataire selon une matrice juridictionnelle à trois axes (siège, hébergement, accès opérationnel) et calcule un score d'exposition pays tiers aligné sur les attentes CSSF.
Synchronise les publications de bonnes pratiques des AES et de la CSSF avec votre référentiel interne, et alerte sur Teams quand un nouveau standard impacte un de vos prestataires actifs.
Génère pour chaque prestataire hors UE une fiche de coopération internationale prête à être transmise à la CSSF, listant les autorités de tutelle du pays tiers et les accords administratifs AES connus.
Produit un rapport PDF horodaté et cryptographiquement scellé, opposable lors d'un contrôle CSSF, démontrant la maîtrise de la dimension internationale de votre risque TIC.
Réconcilie automatiquement votre registre DORA article 28 et votre registre RGPD des transferts hors UE pour éliminer les incohérences entre les deux dispositifs.

Disponible en complément d'un mandat CISO ou DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos prestataires TIC réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition juridictionnelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Coopération internationale

Ils nous font confiance

Avant de discuter