Je dois mettre mon organisation luxembourgeoise en conformité au considérant 63 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 63 élargit massivement le périmètre des prestataires tiers de services TIC au titre de DORA. La CSSF sanctionné les entités financières qui appliquent une lecture restrictive : oublier que la filiale IT du groupe (un shared service center luxembourgeois ou irlandais) est juridiquement un prestataire tiers TIC, ne pas inscrire au registre les fournisseurs de data analytics ou les processeurs de paiement intra-écosystème, ou exclure à tort un éditeur SaaS de niche au motif qu'il serait "trop petit". Toute relation contractuelle qui supporte une fonction TIC, même intra-groupe, doit être tracée, contractualisée article 30 et reportée dans le registre d'information transmis à la CSSF.Le test de qualification : qui tombe dans le périmètre élargi ?Fournisseurs cloud (IaaS, PaaS, SaaS) : AWS, Azure, GCP, OVHcloud, mais aussi les SaaS métier (Temenos, Murex, Avaloq, BlackRock Aladdin).Éditeurs logiciels hébergés ou on-premise dès lors qu'ils supportent une fonction critique ou importante.Prestataires de data analytics et de business intelligence (Snowflake, Databricks, Power BI consultants externes).Opérateurs de data centers luxembourgeois (LuxConnect, eBRC, EBRC, Telindus DC).Entités intra-groupe : la filiale IT du groupe qui fournit des services TIC à la maison mère ou aux succursales tombe explicitement dans DORA, même si elle facture en interne.Entités financières du même groupe rendant un service TIC à une autre entité financière du groupe.Participants à l'écosystème des paiements : processeurs, infrastructures de paiement, prestataires d'acquiring technique.Exclusions strictes : banques centrales pour les systèmes de paiement/règlement, autorités publiques exerçant des fonctions étatiques.Comment Luxgap automatise ce risqueNotre Luxgap DORA Vendor Radar rend impossible d'oublier un prestataire tiers TIC : un agent LLM spécialisé scanne en continu vos factures Sage BOB 50, vos contrats Odoo, vos accès Azure AD/Entra ID, votre Microsoft Cloud App Security et vos flux SWIFT pour reconstituer la cartographie réelle de votre dépendance TIC, y compris les entités intra-groupe que les équipes oublient systématiquement de déclarer. L'outil applique automatiquement le test du considérant 63 et qualifié chaque relation au regard du registre d'information CSSF.Détecte automatiquement chaque nouveau prestataire TIC dès qu'un paiement, un contrat ou un accès apparaît dans vos systèmes connectés, y compris les SaaS shadow IT révélés par Microsoft Defender for Cloud Apps.Classifie chaque fournisseur selon la taxonomie DORA (cloud, software, data analytics, data center, paiement, intra-groupe) en appliquant le test du considérant 63 et les RTS associés.Identifié les prestataires intra-groupe et les flux TIC inter-entités financières du même groupe, souvent oubliés par les équipes conformité.Génère le registre d'information au format CSSF/ESAs prêt à transmettre, avec les 15 templates ITR officiels préremplis.Alerte en temps rée...

Considérant 63 DORA — Considérant 63

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 63

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(63)

Afin de remédier à la complexité des différentes sources du risque lié aux TIC, tout en tenant compte de la multitude et de la diversité des fournisseurs de solutions technologiques qui permettent une fourniture sans accrocs de services financiers, le présent règlement devrait couvrir un large éventail de prestataires tiers de services TIC, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données et les fournisseurs de services de centres de données. De la même manière, étant donné que les entités financières devraient identifier et gérer de manière efficace et cohérente tous les types de risques, y compris dans le contexte des services TIC acquis au sein d’un groupe financier, il convient de préciser que les entreprises qui font partie d’un groupe financier et fournissent des services TIC principalement à leur entreprise mère, ou à des filiales ou succursales de leur entreprise mère, ainsi que les entités financières fournissant des services TIC à d’autres entités financières, devraient également être considérées comme des prestataires tiers de services TIC au titre du présent règlement. Enfin, compte tenu de l’évolution du marché des services de paiement, qui dépend de plus en plus de solutions techniques complexes, et des types émergents de services de paiement et de solutions liées au paiement, les participants à l’écosystème des services de paiement, qui exercent des activités de traitement du paiement ou exploitent des infrastructures de paiement, devraient également être considérés comme des prestataires tiers de services TIC au titre du présent règlement, à l’exception des banques centrales lorsqu’elles exploitent des systèmes de paiement ou de règlement des opérations sur titres et des autorités publiques lorsqu’elles fournissent des services liés aux TIC dans le contexte de l’exercice de fonctions de l’État.

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2024 portant mise en oeuvre du règlement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité compétente DORA pour les établissements de crédit, entreprises d'investissement, PSF, EMI, OPCVM, AIFM et IORP, tandis que le CAA couvre les entreprises d'assurance et de réassurance. La loi du 1er août 2024 portant mise en œuvre de DORA désigne explicitement ces deux autorités et confère à la CSSF un pouvoir d'inspection sur place chez les prestataires tiers TIC critiques. Le considérant 63 prend une dimension particulière à Luxembourg : la place financière s'appuie massivement sur des prestataires intra-groupe (centres de compétence IT à Dublin, Varsovie, Bangalore) et sur des opérateurs locaux (LuxConnect, eBRC, POST Telecom) qui doivent tous figurer au registre d'information.

Pratique Luxgap : nous cartographions systématiquement les flux TIC intra-groupe transfrontaliers vers les hubs IT du groupe (souvent oubliés) et qualifions chaque relation contre la grille CSSF circulaire 24/856 avant la déclaration au registre d'information annuel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 63 élargit massivement le périmètre des prestataires tiers de services TIC au titre de DORA. La CSSF sanctionné les entités financières qui appliquent une lecture restrictive : oublier que la filiale IT du groupe (un shared service center luxembourgeois ou irlandais) est juridiquement un prestataire tiers TIC, ne pas inscrire au registre les fournisseurs de data analytics ou les processeurs de paiement intra-écosystème, ou exclure à tort un éditeur SaaS de niche au motif qu'il serait "trop petit". Toute relation contractuelle qui supporte une fonction TIC, même intra-groupe, doit être tracée, contractualisée article 30 et reportée dans le registre d'information transmis à la CSSF.

Le test de qualification : qui tombe dans le périmètre élargi ?

Fournisseurs cloud (IaaS, PaaS, SaaS) : AWS, Azure, GCP, OVHcloud, mais aussi les SaaS métier (Temenos, Murex, Avaloq, BlackRock Aladdin).
Éditeurs logiciels hébergés ou on-premise dès lors qu'ils supportent une fonction critique ou importante.
Prestataires de data analytics et de business intelligence (Snowflake, Databricks, Power BI consultants externes).
Opérateurs de data centers luxembourgeois (LuxConnect, eBRC, EBRC, Telindus DC).
Entités intra-groupe : la filiale IT du groupe qui fournit des services TIC à la maison mère ou aux succursales tombe explicitement dans DORA, même si elle facture en interne.
Entités financières du même groupe rendant un service TIC à une autre entité financière du groupe.
Participants à l'écosystème des paiements : processeurs, infrastructures de paiement, prestataires d'acquiring technique.
Exclusions strictes : banques centrales pour les systèmes de paiement/règlement, autorités publiques exerçant des fonctions étatiques.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Vendor Radar rend impossible d'oublier un prestataire tiers TIC : un agent LLM spécialisé scanne en continu vos factures Sage BOB 50, vos contrats Odoo, vos accès Azure AD/Entra ID, votre Microsoft Cloud App Security et vos flux SWIFT pour reconstituer la cartographie réelle de votre dépendance TIC, y compris les entités intra-groupe que les équipes oublient systématiquement de déclarer. L'outil applique automatiquement le test du considérant 63 et qualifié chaque relation au regard du registre d'information CSSF.

Détecte automatiquement chaque nouveau prestataire TIC dès qu'un paiement, un contrat ou un accès apparaît dans vos systèmes connectés, y compris les SaaS shadow IT révélés par Microsoft Defender for Cloud Apps.
Classifie chaque fournisseur selon la taxonomie DORA (cloud, software, data analytics, data center, paiement, intra-groupe) en appliquant le test du considérant 63 et les RTS associés.
Identifié les prestataires intra-groupe et les flux TIC inter-entités financières du même groupe, souvent oubliés par les équipes conformité.
Génère le registre d'information au format CSSF/ESAs prêt à transmettre, avec les 15 templates ITR officiels préremplis.
Alerte en temps réel via Teams ou Slack dès qu'un contrat support une fonction critique sans clause article 30 conforme.
Produit un rapport PDF horodaté et cryptographiquement scellé, opposable à la CSSF lors d'un contrôle DORA, démontrant l'exhaustivité du périmètre déclaré.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos prestataires réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 63

Ils nous font confiance

Avant de discuter