Je dois mettre mon organisation luxembourgeoise en conformité au considérant 64 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 64 DORA — Considérant 64

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 64

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(64)

Une entité financière devrait à tout moment demeurer pleinement responsable du respect des obligations qui lui incombent en vertu du présent règlement. Les entités financières devraient adopter une approche proportionnée du suivi des risques survenant au niveau des prestataires tiers de services TIC en tenant dûment compte de la nature, de l’ampleur, de la complexité et de l’importance de leurs relations de dépendance liées aux TIC, de la criticité ou de l’importance des services, processus ou fonctions faisant l’objet des accords contractuels et, enfin, en procédant à une évaluation minutieuse de toute incidence potentielle sur la continuité et la qualité des services financiers au niveau individuel et au niveau du groupe, selon le cas.

Spécificité Luxembourg

circulaire CSSF 24/847 du 5 avril 2024 relative au cadre de gestion des risques TIC et au signalement des incidents majeurs lies aux TIC

Au Luxembourg, la CSSF a intégré DORA dans son cadre de supervision via la circulaire CSSF 24/847 sur la gestion des risques TIC et la notification d'incidents, qui prolonge et remplace partiellement la circulaire 22/806 sur l'externalisation. La CSSF attend une cartographie des prestataires TIC tenue à jour et accessible sur demande, avec une distinction explicite entre fonctions critiques ou importantes (CIF) et fonctions non critiques.

Pratique Luxgap : nous calibrons le scoring de proportionnalite directement sur la grille CSSF (CIF / non-CIF + cloud outsourcing) pour que vos rapports soient immediatement exploitables lors d'un contrôle sur place ou d'une demande ad hoc du service surveillance prudentielle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 64 verrouille un principe que beaucoup d'entités financieres luxembourgeoises sous-estiment : l'externalisation TIC ne transféré jamais la responsabilité réglementaire. La CSSF sanctionné régulièrement des banques et PSF qui invoquent une defaillance de leur hebergeur ou de leur editeur SaaS pour justifier un incident, alors que DORA exige une supervision active et proportionnée. Le piège secondaire est l'uniformite : appliquer le même niveau de contrôle a un editeur de messagerie qu'a un core banking provider révélé un defaut d'analyse de criticite, et c'est précisément ce point qui ressort lors des contrôles sur place.

Le test de proportionnalite exige par le considérant 64

Ce considérant impose une graduation documentee du monitoring fournisseur selon quatre critères cumulatifs. L'entité financiere doit pouvoir démontrer, lors d'un contrôle CSSF, comment chaque relation TIC est classee et surveillee :

Nature et ampleur de la dependance TIC (volume, criticite metier, substituabilite).
Complexité de la chaîne de sous-traitance (sous-sous-traitants, localisation, transferts hors UE).
Criticite ou importance des fonctions supportees (CIF au sens de l'article 28 DORA).
Impact potentiel sur la continuite et la qualité des services financiers, au niveau individuel et groupe.

Concretement, cela signifié qu'un registre fournisseur plat (Excel avec une ligne par contrat) ne suffit plus : il faut un scoring dynamique qui reevalue chaque tiers selon ces quatre axes, et déclenche un niveau de surveillance adapte (audits, KPIs, droits d'inspection, exit strategy).

Comment Luxgap automatise ce risque

Notre Luxgap ICT Dependency Radar transforme l'obligation de proportionnalite du considérant 64 en un score de criticite vivant, recalcule en continu pour chaque prestataire TIC, et opposable a la CSSF. L'outil agrege vos contrats Odoo ou SAP, vos flux financiers, vos logs Microsoft Defender for Cloud Apps, vos inventaires Azure / AWS / GCP et votre CMDB ServiceNow pour reconstruire la carte reelle de vos dependances TIC, sans dependre d'un formulaire rempli par le metier.

Classifie automatiquement chaque prestataire selon la grille DORA article 28 (CIF / non-CIF) en croisant volume contractuel, criticite metier declaree et flux de données observes.
Calcule un score de proportionnalite a quatre axes (nature, ampleur, complexité, impact) qui dicte le niveau de monitoring requis : light, standard ou renforce.
Detecte les sous-sous-traitants caches en analysant les DPA, les politiques de confidentialité et les certifications publiques (ISO 27001, SOC 2, certifications cloud).
Alerte en temps reel sur les changements de risque : expiration de certification, breach HIBP, downgrade financier du fournisseur, changement de localisation des données.
Produit un rapport PDF horodate par prestataire, demontrant a la CSSF la due considération exigee par le considérant 64 et l'article 28.
Intégré l'outillage groupe : consolide les dependances au niveau filiale et au niveau groupe pour les entités soumises a une supervision consolidee.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre fournisseur reel, avec un scan gratuit sous 48h pour mesurer votre exposition TIC avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 64

Ils nous font confiance

Avant de discuter