Je dois mettre mon organisation luxembourgeoise en conformité au considérant 28 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 28 eclaire la réalité que la CSSF constate lors de ses inspections : les contrats TIC des entités financieres luxembourgeoises sont signes en l'état, sans negociation reelle des droits d'audit, d'accès ou de suivi de la sous-traitance en cascade. Résultat, lors d'un contrôle CSSF au titre de la circulaire 22/806 et desormais de DORA, l'entité financiere ne peut ni prouver qu'elle a tente de faire appliquer ses droits, ni démontrer qu'elle suit la chaîne de sous-externalisation de son hyperscaler. Le considérant 28 sert de base interpretative aux articles 28 a 30 de DORA et justifie une lecture stricte de l'obligation contractuelle.Ce que ce considérant change concretement dans vos contrats TICLe standard de marché (contrat AWS, Azure, M365, Salesforce en l'état) n'est plus une excuse opposable a la CSSF : vous devez documenter vos demandes ecrites de modification et les refus du prestataire.Les droits d'audit doivent être opérationnels et pas seulement contractuels : sans plan d'audit, sans fenetre d'audit reservee, sans rapport SOC 2 type II à jour, le droit n'existe pas aux yeux du régulateur.Le suivi de la sous-externalisation (subcontracting) doit être actif : registre des sous-traitants de votre prestataire TIC, notification préalable des changements, droit d'objection materialise.Les services standardises (cloud public, SaaS de masse) exigent une analyse documentee montrant que le service repond a vos exigences prudentielles spécifiques, ou a defaut les mesures de mitigation compensatoires.La capacite a évaluer les risques associes (risk assessment) doit être tracee et reactualisee : un risk assessment fait une fois a la signature ne suffit plus.Comment Luxgap automatise ce risqueNotre Luxgap Contract Leverage Scanner transforme la corvee de relecture contractuelle TIC en une preuve opposable a la CSSF sous 48h. L'outil ingere vos contrats TIC (PDF, DocuSign, Ironclad, M365 SharePoint) via un agent LLM spécialisé DORA qui detecte automatiquement les 47 clauses requises par les articles 28 a 30 et les compare a votre exposition reelle mesuree dans Microsoft Defender for Cloud Apps, AWS Config et Azure Resource Graph.Detecte automatiquement les clauses manquantes ou affaiblies (droits d'audit, sous-traitance, exit strategy, localisation des données, SLA d'incident) dans chaque contrat TIC signe.Classifie chaque prestataire selon le caractère critique ou important de la fonction supportee, conformément aux critères de l'article 28(2) de DORA.Genere une lettre de renegociation pre-redigee, citant le considérant et l'article DORA applicable, prete a être envoyee au prestataire avec accuse de reception trace.Scanne la chaîne de sous-traitance reelle en interrogeant les portails de transparence (AWS Sub-processors, Microsoft OST, Salesforce Trust) et alerte sur Teams ou Slack des qu'un nouveau sous-traitant est ajoute.Produit un dossier PDF horodate, cryptographiquement scelle, demontrant a la CSSF que vous avez...

Considérant 28 DORA — Considérant 28

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 28

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(28)

L’utilisation étendue des services TIC est attestée par des accords contractuels complexes, dans le cadre desquels les entités financières ont souvent du mal à négocier des conditions contractuelles adaptées aux normes prudentielles ou autres exigences réglementaires auxquelles elles sont soumises, ou encore à faire respecter des droits spécifiques, tels que les droits d’accès ou d’audit, même lorsque ces derniers sont inscrits dans leurs accords contractuels. En outre, nombre de ces accords contractuels ne prévoient pas de garanties suffisantes pour permettre un véritable suivi des processus de sous-externalisation, privant ainsi l’entité financière de sa capacité à évaluer les risques associés. De plus, comme les prestataires tiers de services TIC fournissent souvent des services standardisés à différents types de clients, ces accords contractuels ne répondent pas toujours de manière appropriée aux besoins individuels ou particuliers des acteurs du secteur financier.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 et circulaire CSSF 22/806

Au Luxembourg, la CSSF a anticipe DORA via la circulaire CSSF 22/806 relative aux arrangements d'externalisation, qui reste applicable et se cumule avec DORA depuis le 17 janvier 2025. La CSSF exige notamment une notification préalable pour toute externalisation TIC critique et tient à jour le registre des prestataires désignés. La loi du 1er aout 2024 portant mise en œuvre de DORA désigné la CSSF et le CAA comme autorités competentes selon le secteur (banques, PSF, assurances).

Pratique Luxgap : si vous êtes une fintech ou PSF luxembourgeoise, votre registre d'information DORA article 28(3) doit être tenu en parallele du tableau de bord d'externalisation CSSF 22/806 et reconcilie trimestriellement, sous peine de double sanction.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 28 eclaire la réalité que la CSSF constate lors de ses inspections : les contrats TIC des entités financieres luxembourgeoises sont signes en l'état, sans negociation reelle des droits d'audit, d'accès ou de suivi de la sous-traitance en cascade. Résultat, lors d'un contrôle CSSF au titre de la circulaire 22/806 et desormais de DORA, l'entité financiere ne peut ni prouver qu'elle a tente de faire appliquer ses droits, ni démontrer qu'elle suit la chaîne de sous-externalisation de son hyperscaler. Le considérant 28 sert de base interpretative aux articles 28 a 30 de DORA et justifie une lecture stricte de l'obligation contractuelle.

Ce que ce considérant change concretement dans vos contrats TIC

Le standard de marché (contrat AWS, Azure, M365, Salesforce en l'état) n'est plus une excuse opposable a la CSSF : vous devez documenter vos demandes ecrites de modification et les refus du prestataire.
Les droits d'audit doivent être opérationnels et pas seulement contractuels : sans plan d'audit, sans fenetre d'audit reservee, sans rapport SOC 2 type II à jour, le droit n'existe pas aux yeux du régulateur.
Le suivi de la sous-externalisation (subcontracting) doit être actif : registre des sous-traitants de votre prestataire TIC, notification préalable des changements, droit d'objection materialise.
Les services standardises (cloud public, SaaS de masse) exigent une analyse documentee montrant que le service repond a vos exigences prudentielles spécifiques, ou a defaut les mesures de mitigation compensatoires.
La capacite a évaluer les risques associes (risk assessment) doit être tracee et reactualisee : un risk assessment fait une fois a la signature ne suffit plus.

Comment Luxgap automatise ce risque

Notre Luxgap Contract Leverage Scanner transforme la corvee de relecture contractuelle TIC en une preuve opposable a la CSSF sous 48h. L'outil ingere vos contrats TIC (PDF, DocuSign, Ironclad, M365 SharePoint) via un agent LLM spécialisé DORA qui detecte automatiquement les 47 clauses requises par les articles 28 a 30 et les compare a votre exposition reelle mesuree dans Microsoft Defender for Cloud Apps, AWS Config et Azure Resource Graph.

Detecte automatiquement les clauses manquantes ou affaiblies (droits d'audit, sous-traitance, exit strategy, localisation des données, SLA d'incident) dans chaque contrat TIC signe.
Classifie chaque prestataire selon le caractère critique ou important de la fonction supportee, conformément aux critères de l'article 28(2) de DORA.
Genere une lettre de renegociation pre-redigee, citant le considérant et l'article DORA applicable, prete a être envoyee au prestataire avec accuse de reception trace.
Scanne la chaîne de sous-traitance reelle en interrogeant les portails de transparence (AWS Sub-processors, Microsoft OST, Salesforce Trust) et alerte sur Teams ou Slack des qu'un nouveau sous-traitant est ajoute.
Produit un dossier PDF horodate, cryptographiquement scelle, demontrant a la CSSF que vous avez exerce vos droits contractuels et tenu votre registre d'information article 28(3).

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos contrats TIC reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition contractuelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 28

Ils nous font confiance

Avant de discuter