Je dois mettre mon organisation luxembourgeoise en conformité au considérant 31 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant fonde le cadre de supervision des prestataires tiers critiques de services TIC (CTPP) et envoie un signal direct aux entités financieres luxembourgeoises supervisees par la CSSF : la concentration sur quelques hyperscalers (AWS, Azure, GCP) et l'externalisation massive sont desormais traitées comme un risque systemique. La CSSF sanctionné deja, sur la base de la circulaire 22/806 puis de DORA, les banques et PSF qui ne savent pas cartographier leur dependance reelle ni démontrer la criticite reduite des services intra-groupe. Le piège le plus frequent : considérer qu'un service rendu par la maison mere ou une filiale IT du groupe (cas très frequent au Luxembourg pour les banques privées et les depositaires) échappe a l'analyse de risque. Le considérant 31 dit explicitement l'inverse.Ce que ce considérant change concretement dans votre gouvernanceL'intra-groupe (DSI mutualisee, filiale technologique groupe, centre de competences IT a Francfort, Paris, Zurich) n'est pas presume moins risque : il doit être evalue avec la même rigueur qu'un prestataire externe.Le niveau de contrôle effectif sur le prestataire intra-groupe est un facteur attenuant documente, pas une présomption : il faut prouver les droits d'audit, les SLA, la gouvernance partagée, la capacite de sortie.La concentration (mêmes CTPP partagés avec d'autres entités du groupe ou de la place) doit être mesuree, pas declaree.La CSSF et les ESAs vont superviser directement les CTPP désignés : votre registre d'information article 28(3) DORA doit être coherent avec leur périmètre.La confidentialité des clients non financiers du CTPP doit être préservée : vos clauses contractuelles doivent encadrer le périmètre des informations partagées avec les autorités.Comment Luxgap automatise ce risqueNotre Luxgap CTPP Concentration Radar transforme votre cartographie statique de prestataires TIC en une vue temps-reel de votre exposition systemique, intra-groupe comprise. L'outil se connecte a votre Azure AD, AWS Organizations, GCP IAM, M365 admin, registre fournisseurs (Odoo, SAP, Sage BOB 50) et a votre référentiel contrats pour reconstituer la chaîne reelle de dependance TIC, y compris les services rendus par votre maison mere ou une filiale IT groupe que personne ne traite comme un prestataire externe.Detecte automatiquement chaque service TIC consomme, qu'il provienne d'un tiers externe ou d'une entité du même groupe financier, via les flux IAM, les factures intercos et les logs réseau.Calcule un score de criticite aligne sur les critères ESAs (article 31 DORA) et alerte des qu'un prestataire franchit le seuil de désignation CTPP.Mesure la concentration reelle : part du SI dependant d'un même hyperscaler, redondance regionale (UE / hors UE), substituabilite, et empilement des dependances de sous-traitance.Differencie intra-groupe et extra-groupe avec une grille de contrôle effective (droits d'audit, SLA, gouvernance, exit plan testable) pour documenter l'attenuatio...

Considérant 31 DORA — Considérant 31

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 31

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(31)

Compte tenu du risque systémique potentiel induit par des pratiques accrues d’externalisation et par la concentration des dépendances à l’égard des prestataires tiers de services TIC, et eu égard à l’insuffisance des mécanismes nationaux fournissant aux autorités de surveillance financière des outils adéquats permettant de quantifier et de qualifier le risque lié aux TIC se produisant chez les prestataires tiers critiques de services TIC et de remédier à leurs conséquences, il est nécessaire de mettre en place un cadre de supervision approprié permettant d’assurer un suivi continu des activités des prestataires tiers de services TIC qui sont des prestataires tiers critiques de services TIC pour les entités financières, tout en veillant à ce que la confidentialité et la sécurité des clients autres que les entités financières soient préservées. Bien que la fourniture de services TIC intra-groupe comporte des risques et des avantages spécifiques, elle ne devrait pas être automatiquement considérée comme moins risquée que la fourniture de services TIC par des prestataires extérieurs à un groupe financier, et devrait donc être soumise au même cadre réglementaire. Toutefois, lorsque les services TIC sont fournis au sein du même groupe financier, les entités financières peuvent avoir un contrôle plus strict sur les prestataires intra-groupe, ce qui doit être pris en considération dans l’évaluation générale des risques.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 et circulaire CSSF 22/806

Au Luxembourg, la CSSF est l'autorité competente pour la supervision DORA des entités financieres et coordonne avec les ESAs la désignation des CTPP. La loi du 1er juin 2023 portant transposition opérationnelle et la circulaire CSSF 22/806 sur les arrangements d'externalisation (mise à jour pour s'articuler avec DORA) restent applicables : la CSSF attend une notification préalable des arrangements d'externalisation critiques, y compris intra-groupe, et exige un registre conforme au format ESAs. Spécificité locale : pour les fonctions critiques ou importantes au sens de la circulaire 22/806, l'intra-groupe doit être documente avec un group outsourcing policy approuve par le conseil d'administration de l'entité luxembourgeoise, même si le service est rendu depuis la maison mere.

Pratique Luxgap : sur les banques privées et depositaires luxembourgeois dependant d'une DSI groupe a Zurich, Paris ou Francfort, nous reconstituons la matrice d'externalisation intra-groupe avec les preuves de contrôle effectif (droits d'audit exerces, comites mixtes, exit plan teste) attendues par la CSSF lors des inspections sur place.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant fonde le cadre de supervision des prestataires tiers critiques de services TIC (CTPP) et envoie un signal direct aux entités financieres luxembourgeoises supervisees par la CSSF : la concentration sur quelques hyperscalers (AWS, Azure, GCP) et l'externalisation massive sont desormais traitées comme un risque systemique. La CSSF sanctionné deja, sur la base de la circulaire 22/806 puis de DORA, les banques et PSF qui ne savent pas cartographier leur dependance reelle ni démontrer la criticite reduite des services intra-groupe. Le piège le plus frequent : considérer qu'un service rendu par la maison mere ou une filiale IT du groupe (cas très frequent au Luxembourg pour les banques privées et les depositaires) échappe a l'analyse de risque. Le considérant 31 dit explicitement l'inverse.

Ce que ce considérant change concretement dans votre gouvernance

L'intra-groupe (DSI mutualisee, filiale technologique groupe, centre de competences IT a Francfort, Paris, Zurich) n'est pas presume moins risque : il doit être evalue avec la même rigueur qu'un prestataire externe.
Le niveau de contrôle effectif sur le prestataire intra-groupe est un facteur attenuant documente, pas une présomption : il faut prouver les droits d'audit, les SLA, la gouvernance partagée, la capacite de sortie.
La concentration (mêmes CTPP partagés avec d'autres entités du groupe ou de la place) doit être mesuree, pas declaree.
La CSSF et les ESAs vont superviser directement les CTPP désignés : votre registre d'information article 28(3) DORA doit être coherent avec leur périmètre.
La confidentialité des clients non financiers du CTPP doit être préservée : vos clauses contractuelles doivent encadrer le périmètre des informations partagées avec les autorités.

Comment Luxgap automatise ce risque

Notre Luxgap CTPP Concentration Radar transforme votre cartographie statique de prestataires TIC en une vue temps-reel de votre exposition systemique, intra-groupe comprise. L'outil se connecte a votre Azure AD, AWS Organizations, GCP IAM, M365 admin, registre fournisseurs (Odoo, SAP, Sage BOB 50) et a votre référentiel contrats pour reconstituer la chaîne reelle de dependance TIC, y compris les services rendus par votre maison mere ou une filiale IT groupe que personne ne traite comme un prestataire externe.

Detecte automatiquement chaque service TIC consomme, qu'il provienne d'un tiers externe ou d'une entité du même groupe financier, via les flux IAM, les factures intercos et les logs réseau.
Calcule un score de criticite aligne sur les critères ESAs (article 31 DORA) et alerte des qu'un prestataire franchit le seuil de désignation CTPP.
Mesure la concentration reelle : part du SI dependant d'un même hyperscaler, redondance regionale (UE / hors UE), substituabilite, et empilement des dependances de sous-traitance.
Differencie intra-groupe et extra-groupe avec une grille de contrôle effective (droits d'audit, SLA, gouvernance, exit plan testable) pour documenter l'attenuation prévue par le considérant 31.
Genere le registre d'information article 28(3) DORA au format ESAs, pret a transmettre a la CSSF, avec preuves opposables horodatees.
Simule l'impact d'une defaillance ou d'une sortie forcee d'un CTPP sur la continuite d'activité, intégré aux scénarios TLPT.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon la taille de votre groupe et le nombre d'entités supervisees CSSF. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h qui révélé votre exposition CTPP intra et extra-groupe avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 31

Ils nous font confiance

Avant de discuter