Je dois mettre mon organisation luxembourgeoise en conformité au considérant 62 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 62 pose la philosophie du Chapitre V de DORA : ce n'est pas un contrôle ponctuel a la signature du contrat, mais un suivi continu de tous les prestataires TIC, avec une intensite proportionnée a la criticite. En pratique, la CSSF sanctionné les entités financieres qui maintiennent un registre statique mis à jour une fois par an, sans aucune mécanique de détection des changements (sous-traitance en cascade, changement de localisation, expiration de certification). L'erreur typique consiste a concentrer 90% de l'effort sur les 5 contrats 'critiques' et a laisser une zone grise sur les 200 autres dependances TIC qui, cumulees, portent un risque de concentration majeur.Comment traduire ce considérant en mécanisme opérationnelCartographier toutes les dependances TIC, pas seulement celles qui soutiennent des fonctions critiques ou importantes, conformément a l'article 28(3) DORA.Differencier l'intensite du suivi : due diligence renforcee + tests de penetration pour les fonctions critiques, monitoring leger mais continu pour le reste.Détecter automatiquement les événements déclencheurs : changement de contrôle du prestataire, breach publique (HIBP, ransomware leak sites), expiration ISO 27001 / SOC 2 / TISAX, deplacement de données hors UE.Documenter la chaîne complète de sous-traitance TIC (sous-traitants Nth-tier), exigee par l'article 30(2)(a) DORA et par les RTS de la CSSF.Produire des preuves opposables : registre conforme au template d'exécution ITS DORA, signe et horodate, pret pour la remontee annuelle CSSF.Comment Luxgap automatise ce risqueNotre Luxgap ICT Dependency Radar transforme l'obligation déclarative du registre DORA en surveillance temps reel de votre écosystème TIC. L'outil se connecte a vos sources internes (Active Directory, Azure AD, Microsoft Defender for Cloud Apps, AWS Cost Explorer, Odoo, Sage BOB 50, eBRC, contrats DocuSign) et croise en continu chaque flux avec des signaux externes (registres commerciaux LU/EU, Have I Been Pwned, ransomware leak sites, bases de certifications ISO/SOC). Résultat : un radar vivant ou chaque prestataire TIC apparait avec sa criticite calculee, ses certifications à jour, ses sous-traitants Nth-tier et un score de risque predictif.Detecte automatiquement chaque nouveau prestataire TIC des qu'une transaction, un accès SSO ou un endpoint API apparait dans vos systèmes connectes, sans formulaire a remplir.Classifie chaque dependance selon la grille DORA (fonction critique ou importante, simple support) en s'appuyant sur les flux metier observes et les RTS publiees par les ESAs.Surveille en continu les signaux externes (breach publique, downgrade de certification, sanction OFAC, changement de contrôle capitalistique) et alerte sur Teams ou par email en moins de 5 minutes.Cartographie la chaîne Nth-tier (votre SaaS RH hébergé sur AWS Francfort reposant sur un sous-traitant US) et identifié les ruptures de transparence contractuelle.Calcule un score de concentration ...

Considérant 62 DORA — Considérant 62

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 62

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(62)

Afin d’assurer un suivi efficace du risque lié aux prestataires tiers de services TIC dans le secteur financier, il convient d’établir un ensemble de règles de principe destinées à guider les entités financières lors du suivi des risques engendrés par l’externalisation de fonctions à des prestataires tiers de services TIC, en particulier pour les services TIC qui soutiennent des fonctions critiques ou importantes, ainsi que, plus généralement, par les relations de dépendance à l’égard de tous les prestataires tiers de services TIC.

Spécificité Luxembourg

Circulaire CSSF 22/806 relative aux arrangements d'externalisation, telle que modifiee, lue en combinaison avec le reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente DORA pour la majorite des entités financieres (banques, PSF, entreprises d'investissement, EMI, établissements de paiement, OPCVM, AIFM), tandis que le CAA supervise les entreprises d'assurance et de reassurance. La circulaire CSSF 22/806 sur les arrangements d'externalisation (telle que modifiee) reste applicable en complement de DORA et impose une notification préalable a la CSSF pour toute externalisation d'une fonction critique ou importante.

Pratique Luxgap : nous configurons le registre ICT Dependency Radar avec les deux schemas en parallele (template ITS DORA + grille circulaire CSSF 22/806) pour produire en un clic les deux livrables exiges par la CSSF, et nous integrons la procédure de notification préalable directement dans le workflow d'onboarding fournisseur.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 62 pose la philosophie du Chapitre V de DORA : ce n'est pas un contrôle ponctuel a la signature du contrat, mais un suivi continu de tous les prestataires TIC, avec une intensite proportionnée a la criticite. En pratique, la CSSF sanctionné les entités financieres qui maintiennent un registre statique mis à jour une fois par an, sans aucune mécanique de détection des changements (sous-traitance en cascade, changement de localisation, expiration de certification). L'erreur typique consiste a concentrer 90% de l'effort sur les 5 contrats 'critiques' et a laisser une zone grise sur les 200 autres dependances TIC qui, cumulees, portent un risque de concentration majeur.

Comment traduire ce considérant en mécanisme opérationnel

Cartographier toutes les dependances TIC, pas seulement celles qui soutiennent des fonctions critiques ou importantes, conformément a l'article 28(3) DORA.
Differencier l'intensite du suivi : due diligence renforcee + tests de penetration pour les fonctions critiques, monitoring leger mais continu pour le reste.
Détecter automatiquement les événements déclencheurs : changement de contrôle du prestataire, breach publique (HIBP, ransomware leak sites), expiration ISO 27001 / SOC 2 / TISAX, deplacement de données hors UE.
Documenter la chaîne complète de sous-traitance TIC (sous-traitants Nth-tier), exigee par l'article 30(2)(a) DORA et par les RTS de la CSSF.
Produire des preuves opposables : registre conforme au template d'exécution ITS DORA, signe et horodate, pret pour la remontee annuelle CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap ICT Dependency Radar transforme l'obligation déclarative du registre DORA en surveillance temps reel de votre écosystème TIC. L'outil se connecte a vos sources internes (Active Directory, Azure AD, Microsoft Defender for Cloud Apps, AWS Cost Explorer, Odoo, Sage BOB 50, eBRC, contrats DocuSign) et croise en continu chaque flux avec des signaux externes (registres commerciaux LU/EU, Have I Been Pwned, ransomware leak sites, bases de certifications ISO/SOC). Résultat : un radar vivant ou chaque prestataire TIC apparait avec sa criticite calculee, ses certifications à jour, ses sous-traitants Nth-tier et un score de risque predictif.

Detecte automatiquement chaque nouveau prestataire TIC des qu'une transaction, un accès SSO ou un endpoint API apparait dans vos systèmes connectes, sans formulaire a remplir.
Classifie chaque dependance selon la grille DORA (fonction critique ou importante, simple support) en s'appuyant sur les flux metier observes et les RTS publiees par les ESAs.
Surveille en continu les signaux externes (breach publique, downgrade de certification, sanction OFAC, changement de contrôle capitalistique) et alerte sur Teams ou par email en moins de 5 minutes.
Cartographie la chaîne Nth-tier (votre SaaS RH hébergé sur AWS Francfort reposant sur un sous-traitant US) et identifié les ruptures de transparence contractuelle.
Calcule un score de concentration prestataire pour détecter le risque systemique (ex : 60% de vos fonctions critiques dependent du même hyperscaler).
Genere le registre d'information au format ITS DORA, horodate et cryptographiquement scelle, pret pour la remontee annuelle CSSF.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre écosystème TIC reel, avec un scan gratuit sous 48h pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 62

Ils nous font confiance

Avant de discuter