Je dois mettre mon organisation luxembourgeoise en conformité au considérant 30 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 30 exposé la philosophie qui structure tout le chapitre V de DORA : le legislateur européen acte que le secteur financier est dangereusement concentre sur quelques hyperscalers et editeurs SaaS (AWS, Azure, GCP, Salesforce, Bloomberg, SWIFT), et que ni les orientations ABE 2019 ni les orientations AEMF 2021 ne suffisent. En pratique, la CSSF sanctionné deja les entités financieres luxembourgeoises qui presentent un registre des prestataires TIC incomplet, sans cartographie des dependances en cascade (sous-sous-traitants), ou sans évaluation du risque de concentration. Le piège : croire qu'un registre Excel des contrats actifs suffit, alors que l'autorité attend une vision dynamique de la dependance reelle.Ce que ce considérant change pour votre mise en œuvreLe registre d'information article 28(3) n'est pas un inventaire contractuel : c'est une cartographie des dependances, incluant les sous-traitants de rang n+1, n+2, n+3.Le risque de concentration doit être evalue a trois niveaux : entité, groupe, et secteur (votre banque n'est pas seule sur AWS Francfort).La CSSF peut demander a tout moment une vue consolidee de vos dependances TIC critiques, avec les fonctions metier supportees et les RTO/RPO associes.Les prestataires désignés critiques par les ESAs (CTPP) feront l'objet d'une surveillance directe : votre due diligence doit anticiper ce statut.L'absence de stratégie de sortie documentee pour les fournisseurs supportant des fonctions critiques ou importantes est un point de contrôle systématique.Comment Luxgap automatise ce risqueNotre Luxgap ICT Concentration Radar transforme l'intention du considérant 30 en preuve opposable a la CSSF : l'outil reconstitue automatiquement la cartographie complète de vos dependances TIC, y compris les sous-sous-traitants invisibles dans vos contrats, et calcule en continu votre exposition au risque de concentration sectoriel. Il se connecte a vos flux Azure Cost Management, AWS Organizations, M365 Admin Center, Workday, et a vos contrats Odoo ou Sage BOB 50 pour materialiser la chaîne reelle d'externalisation, sans questionnaire fournisseur.Detecte automatiquement chaque nouveau prestataire TIC des qu'une facture, un accès API ou une consommation cloud apparait dans vos systèmes connectes.Reconstitue la chaîne de sous-traitance jusqu'au rang n+3 en croisant les rapports SOC 2, les pages trust center publiques et les bases ENISA des fournisseurs critiques.Calcule un score de concentration par fournisseur, par region cloud et par fonction critique ou importante, aligne sur les critères RTS désignation CTPP.Alerte en temps reel via Teams ou email lorsqu'un fournisseur franchit un seuil de criticite ou perd une certification (ISO 27001, SOC 2 Type II, TISAX).Genere le registre d'information article 28(3) au format XBRL attendu par la CSSF et les ESAs, pret a deposer.Produit un rapport PDF horodate de risque de concentration, opposable lors d'une inspection CSSF, demontrant la maî...

Considérant 30 DORA — Considérant 30

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 30

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(30)

Un certain manque d’homogénéité et de convergence en ce qui concerne le suivi des risques liés aux prestataires tiers de services TIC et de la dépendance à l’égard de ceux-ci est aujourd’hui évident. Malgré certains efforts pour couvrir l’externalisation, tels que les orientations de l’ABE de 2019 relatives à l’externalisation et les orientations de l’AEMF de 2021 relatives à la sous-traitance à des prestataires de services en nuage, la question plus large de la lutte contre le risque systémique qui peut être déclenché par l’exposition du secteur financier à un nombre limité de prestataires tiers critiques de services TIC n’est pas suffisamment pris en compte dans le droit de l’Union. Le manque de règles au niveau de l’Union est aggravé par l’absence de règles nationales en matière de mandats et d’outils qui permettent aux autorités de surveillance financière d’acquérir une solide compréhension des relations de dépendance à l’égard des prestataires tiers de services TIC afin d’assurer un suivi adéquat des risques découlant de la concentration de ces relations de dépendance.

Spécificité Luxembourg

circulaire CSSF 22/806 du 22 avril 2022 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF est l'autorité competente désignée au titre de DORA pour l'ensemble du secteur financier (établissements de crédit, PSF, fonds, assurances en lien avec le CAA). La circulaire CSSF 22/806 sur les arrangements d'externalisation, deja en vigueur, prefigure les exigences DORA et reste applicable en complement : registre d'externalisation, notification préalable des externalisations critiques, et évaluation du risque de concentration. Depuis 2025, la CSSF attend une intégration coherente entre la circulaire 22/806 et le registre d'information DORA article 28(3).

Pratique Luxgap : nous alignons votre registre d'externalisation circulaire 22/806 et votre registre DORA dans un référentiel unique, pour eviter les divergences qui déclenchent systématiquement des findings lors des inspections CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 30 exposé la philosophie qui structure tout le chapitre V de DORA : le legislateur européen acte que le secteur financier est dangereusement concentre sur quelques hyperscalers et editeurs SaaS (AWS, Azure, GCP, Salesforce, Bloomberg, SWIFT), et que ni les orientations ABE 2019 ni les orientations AEMF 2021 ne suffisent. En pratique, la CSSF sanctionné deja les entités financieres luxembourgeoises qui presentent un registre des prestataires TIC incomplet, sans cartographie des dependances en cascade (sous-sous-traitants), ou sans évaluation du risque de concentration. Le piège : croire qu'un registre Excel des contrats actifs suffit, alors que l'autorité attend une vision dynamique de la dependance reelle.

Ce que ce considérant change pour votre mise en œuvre

Le registre d'information article 28(3) n'est pas un inventaire contractuel : c'est une cartographie des dependances, incluant les sous-traitants de rang n+1, n+2, n+3.
Le risque de concentration doit être evalue a trois niveaux : entité, groupe, et secteur (votre banque n'est pas seule sur AWS Francfort).
La CSSF peut demander a tout moment une vue consolidee de vos dependances TIC critiques, avec les fonctions metier supportees et les RTO/RPO associes.
Les prestataires désignés critiques par les ESAs (CTPP) feront l'objet d'une surveillance directe : votre due diligence doit anticiper ce statut.
L'absence de stratégie de sortie documentee pour les fournisseurs supportant des fonctions critiques ou importantes est un point de contrôle systématique.

Comment Luxgap automatise ce risque

Notre Luxgap ICT Concentration Radar transforme l'intention du considérant 30 en preuve opposable a la CSSF : l'outil reconstitue automatiquement la cartographie complète de vos dependances TIC, y compris les sous-sous-traitants invisibles dans vos contrats, et calcule en continu votre exposition au risque de concentration sectoriel. Il se connecte a vos flux Azure Cost Management, AWS Organizations, M365 Admin Center, Workday, et a vos contrats Odoo ou Sage BOB 50 pour materialiser la chaîne reelle d'externalisation, sans questionnaire fournisseur.

Detecte automatiquement chaque nouveau prestataire TIC des qu'une facture, un accès API ou une consommation cloud apparait dans vos systèmes connectes.
Reconstitue la chaîne de sous-traitance jusqu'au rang n+3 en croisant les rapports SOC 2, les pages trust center publiques et les bases ENISA des fournisseurs critiques.
Calcule un score de concentration par fournisseur, par region cloud et par fonction critique ou importante, aligne sur les critères RTS désignation CTPP.
Alerte en temps reel via Teams ou email lorsqu'un fournisseur franchit un seuil de criticite ou perd une certification (ISO 27001, SOC 2 Type II, TISAX).
Genere le registre d'information article 28(3) au format XBRL attendu par la CSSF et les ESAs, pret a deposer.
Produit un rapport PDF horodate de risque de concentration, opposable lors d'une inspection CSSF, demontrant la maîtrise de vos dependances TIC.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule. Demandez une demonstration et nos équipes preparent un audit blanc gratuit sous 48h sur vos dependances TIC reelles, pour mesurer votre score de concentration avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 30

Ils nous font confiance

Avant de discuter