Je dois mettre mon organisation luxembourgeoise en conformité au considérant 29 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 29 explique pourquoi DORA invente un regime contractuel TIC autonome, distinct du droit sectoriel de l'externalisation (Orientations EBA, Circulaire CSSF 22/806, Orientations EIOPA). En pratique, la CSSF sanctionné les entités financieres qui se contentent de leurs anciens contrats d'externalisation cloud signes avant 2025 : il leur manque les droits contractuels minimaux de l'article 30 DORA, notamment sur les audits, la résiliation, la localisation et la cooperation avec les autorités. Le piège est de croire que la conformité a la Circulaire 22/806 suffit : DORA ajoute une couche supplémentaire qui doit être intégrée dans chaque accord, même pour les prestataires non critiques.Comment lire ce considérant pour anticiper les articles 28 a 30Le considérant 29 etablit trois principes interpretatifs qui eclairent toute la section V de DORA :Principe de spécialité : les règles DORA s'ajoutent au droit sectoriel (Circulaire CSSF 22/806, Orientations EBA sur l'externalisation) et ne le remplacent pas. Vous devez cumuler les deux corpus dans chaque contrat.Principe de proportionnalite renforcee : les droits contractuels fondamentaux s'appliquent a TOUS les prestataires TIC, mais le regime renforce de l'article 30(3) ne visé que les fonctions critiques ou importantes.Principe de garanties minimales opposables : les droits clés (audit, accès, résiliation, transition, localisation, cooperation autorités) sont des minimas non negociables, même face a un hyperscaler. Une clause contractuelle qui les exclut est inopposable a la CSSF.Mécanique de la qualification : la classification d'une fonction comme critique ou importante (article 8(4) DORA, en coherence avec la Circulaire 22/806) determine le périmètre des clauses obligatoires renforcees.Articulation avec l'externalisation classique : un même contrat cloud peut être simultanement une externalisation au sens de la Circulaire 22/806 et un accord TIC au sens DORA, declenchant un double regime.Comment Luxgap automatise ce risqueNotre Luxgap DORA Contract Intelligence transforme votre portefeuille de contrats TIC en registre vivant directement opposable a la CSSF, en eliminant l'angle mort entre Circulaire 22/806 et DORA articles 28 a 30. L'outil ingere automatiquement vos contrats depuis SharePoint, DocuSign, Ironclad ou votre GED interne, et un agent LLM spécialisé lit chaque clause pour cartographier la couverture des 15 droits contractuels fondamentaux exiges par DORA, en croisant avec votre registre d'externalisation existant CSSF.Detecte automatiquement chaque nouveau contrat TIC des sa signature DocuSign ou Ironclad et le rattache au registre d'information article 28(3) DORA, sans intervention manuelle du CISO.Identifié clause par clause les droits manquants (audit, résiliation, localisation, sous-traitance, cooperation CSSF, stratégies de sortie) avec citation du paragraphe DORA et du paragraphe Circulaire 22/806 concernes.Classifie chaque prestataire selon qu'il sou...

Considérant 29 DORA — Considérant 29

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 29

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(29)

Bien que le droit de l’Union sur les services financiers contienne certaines règles générales sur l’externalisation, le suivi de la dimension contractuelle n’est pas pleinement consacré dans le droit de l’Union. En l’absence de normes de l’Union claires et adaptées applicables aux accords contractuels conclus avec des prestataires tiers de services TIC, la source extérieure du risque lié aux TIC n’est pas traitée de manière exhaustive. Par conséquent, il est nécessaire de définir certains principes clés pour encadrer la gestion, par les entités financières, du risque lié aux prestataires tiers de services TIC, qui revêtent une importance particulière lorsque les entités financières ont recours à des prestataires tiers de services TIC pour soutenir leurs fonctions critiques ou importantes. Ces principes devraient être assortis d’un ensemble de droits contractuels fondamentaux ayant trait à plusieurs éléments de l’exécution et de la résiliation des accords contractuels, en vue de consacrer certaines garanties minimales visant à renforcer la capacité des entités financières à assurer un suivi efficace de tous les risques liés aux TIC qui se posent au niveau des prestataires tiers de services. Ces principes complètent le droit sectoriel applicable à l’externalisation.

Spécificité Luxembourg

Circulaire CSSF 22/806 relative aux arrangements d'externalisation, lue avec le Reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF cumule deux corpus distincts pour les entités financieres : la Circulaire CSSF 22/806 relative aux arrangements d'externalisation (qui transpose les Orientations EBA/GL/2019/02 et EIOPA-BoS-20/002) et le règlement DORA directement applicable depuis le 17 janvier 2025. La CSSF a précisé dans sa communication du 18 decembre 2024 que les entités doivent maintenir leur notification préalable d'externalisation cloud au titre de la Circulaire 22/806 ET tenir le registre d'information DORA article 28(3), sans substitution de l'un par l'autre.

Pratique Luxgap : pour chaque contrat cloud, produisez une fiche unique qui coche les deux grilles (Circulaire 22/806 et DORA), avec correspondance ligne a ligne des clauses ; c'est le seul moyen de répondre en une seule iteration aux contrôles thematiques CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 29 explique pourquoi DORA invente un regime contractuel TIC autonome, distinct du droit sectoriel de l'externalisation (Orientations EBA, Circulaire CSSF 22/806, Orientations EIOPA). En pratique, la CSSF sanctionné les entités financieres qui se contentent de leurs anciens contrats d'externalisation cloud signes avant 2025 : il leur manque les droits contractuels minimaux de l'article 30 DORA, notamment sur les audits, la résiliation, la localisation et la cooperation avec les autorités. Le piège est de croire que la conformité a la Circulaire 22/806 suffit : DORA ajoute une couche supplémentaire qui doit être intégrée dans chaque accord, même pour les prestataires non critiques.

Comment lire ce considérant pour anticiper les articles 28 a 30

Le considérant 29 etablit trois principes interpretatifs qui eclairent toute la section V de DORA :

Principe de spécialité : les règles DORA s'ajoutent au droit sectoriel (Circulaire CSSF 22/806, Orientations EBA sur l'externalisation) et ne le remplacent pas. Vous devez cumuler les deux corpus dans chaque contrat.
Principe de proportionnalite renforcee : les droits contractuels fondamentaux s'appliquent a TOUS les prestataires TIC, mais le regime renforce de l'article 30(3) ne visé que les fonctions critiques ou importantes.
Principe de garanties minimales opposables : les droits clés (audit, accès, résiliation, transition, localisation, cooperation autorités) sont des minimas non negociables, même face a un hyperscaler. Une clause contractuelle qui les exclut est inopposable a la CSSF.
Mécanique de la qualification : la classification d'une fonction comme critique ou importante (article 8(4) DORA, en coherence avec la Circulaire 22/806) determine le périmètre des clauses obligatoires renforcees.
Articulation avec l'externalisation classique : un même contrat cloud peut être simultanement une externalisation au sens de la Circulaire 22/806 et un accord TIC au sens DORA, declenchant un double regime.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Contract Intelligence transforme votre portefeuille de contrats TIC en registre vivant directement opposable a la CSSF, en eliminant l'angle mort entre Circulaire 22/806 et DORA articles 28 a 30. L'outil ingere automatiquement vos contrats depuis SharePoint, DocuSign, Ironclad ou votre GED interne, et un agent LLM spécialisé lit chaque clause pour cartographier la couverture des 15 droits contractuels fondamentaux exiges par DORA, en croisant avec votre registre d'externalisation existant CSSF.

Detecte automatiquement chaque nouveau contrat TIC des sa signature DocuSign ou Ironclad et le rattache au registre d'information article 28(3) DORA, sans intervention manuelle du CISO.
Identifié clause par clause les droits manquants (audit, résiliation, localisation, sous-traitance, cooperation CSSF, stratégies de sortie) avec citation du paragraphe DORA et du paragraphe Circulaire 22/806 concernes.
Classifie chaque prestataire selon qu'il soutient une fonction critique ou importante en croisant la cartographie metier, l'inventaire applicatif Defender et les flux financiers Sage BOB 50, et applique le bon regime contractuel.
Genere des avenants pre-rediges aligne sur les RTS de la Commission européenne pour combler chaque lacune, prets a être envoyes au prestataire.
Alerte en temps reel sur Teams quand un contrat existant est modifie par un prestataire et qu'une clause DORA disparait ou est affaiblie.
Produit le registre d'information complet au format Annexe RTS, exportable directement vers la CSSF dans la fenetre de reporting annuel.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos contrats reels, avec un audit blanc gratuit sous 48h pour mesurer le taux de couverture DORA de votre portefeuille actuel.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 29

Ils nous font confiance

Avant de discuter