Je dois mettre mon organisation luxembourgeoise en conformité au considérant 66 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 66 eclaire les articles 28 a 30 de DORA en imposant une analyse precontractuelle approfondie avant toute signature d'un contrat TIC. En pratique, la CSSF sanctionné les entités financieres qui signent un contrat cloud, SaaS ou fintech sans dossier de due diligence opposable : pas d'analyse du risque de concentration, pas de vérification des normes de sécurité, pas d'évaluation des conflits d'intérêts, pas de clause de résiliation declenchable. Pour les fonctions critiques ou importantes, l'absence de preuve que vous avez exige les standards les plus eleves (ISO 27001, SOC 2 Type II, PCI DSS, hébergement souverain) suffit a caracteriser un manquement.Les 5 piliers de l'analyse precontractuelle exigee par le considérant 66Criticite du service : qualification fonction critique ou importante au sens de l'article 3(22), avec impact sur la continuite opérationnelle.Approbations supervisoires : notification CSSF préalable pour outsourcing matériel (circulaire CSSF 22/806), accord ACPR si succursale, autorisations sectorielles AIFM/UCITS.Risque de concentration : cartographie de la dependance a un même prestataire ou a un même datacenter (typiquement AWS Francfort, Azure Pays-Bas, GCP Belgique) sur plusieurs fonctions critiques.Diligence raisonnable : vérification financiere, juridique, technique, ESG, sous-traitance en cascade, localisation des données et personnel.Conflits d'intérêts : prestataire détenu par un concurrent, lien capitalistique avec un dirigeant, prestation croisee avec un sous-traitant deja engage.Les clauses de résiliation que le considérant 66 vous oblige a prévoirLe texte enumere explicitement les circonstances qui doivent déclencher une résiliation contractuelle : violations significatives de la loi ou du contrat, alteration de la performance, faiblesses averees dans la gestion du risque TIC du prestataire, et incapacite de la CSSF a superviser efficacement l'entité financiere. Concretement, vos contrats doivent contenir des exit triggers objectifs (KPI dégradés, incidents repetes, expiration de certification ISO 27001, refus d'audit CSSF) et un plan de sortie testé, pas seulement une clause cosmetique de 30 jours de preavis.Comment Luxgap automatise ce risqueNotre Luxgap Pre-Contract Sentinel transforme l'analyse precontractuelle DORA en un dossier opposable a la CSSF, signe cryptographiquement, livre en 72h sur n'importe quel prestataire TIC envisage. Un agent LLM spécialisé interroge en parallele les bases publiques (registre RCS, registre ESMA, EBA Register, HIBP, base CVE, certifications ISO en ligne), aspire le rapport SOC 2 du prestataire, scanne ses sous-traitants declares, et produit un score de risque de concentration calcule sur l'ensemble de votre cartographie outsourcing CSSF 22/806 existante.Scanne automatiquement le prestataire envisage et identifié ses sous-traitants en cascade via OSINT, BGP routing et certificats TLS, sans dependre des déclarations du fournisseur.Calcule le score...

Considérant 66 DORA — Considérant 66

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 66

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(66)

Une analyse précontractuelle approfondie devrait étayer et précéder la conclusion formelle des accords contractuels, en particulier en se concentrant sur des éléments tels que la criticité ou l’importance des services faisant l’objet du contrat TIC envisagé, les accords nécessaires des autorités de contrôle ou d’autres conditions, l’éventuel risque de concentration encouru, ainsi qu’en appliquant la diligence requise dans le processus de sélection et d’évaluation des prestataires tiers de services TIC et en analysant les éventuels conflits d’intérêts. En ce qui concerne les accords contractuels portant sur des fonctions critiques ou importantes, les entités financières devraient prendre en considération l’utilisation par les prestataires tiers de services TIC des normes les plus actualisées et les plus élevées en matière de sécurité de l’information. La résiliation des accords contractuels pourrait être déclenchée à tout le moins par un ensemble de circonstances révélant des insuffisances au niveau du prestataire tiers de services TIC, notamment des violations des dispositions législatives ou contractuelles, des circonstances révélant une possible altération de l’exécution des fonctions prévues par les accords contractuels, des faiblesses avérées du prestataire tiers de services TIC dans sa gestion globale du risque lié aux TIC, ou des circonstances indiquant l’incapacité de l’autorité compétente concernée à surveiller efficacement l’entité financière.

Spécificité Luxembourg

loi du 1er juillet 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 22/806

Au Luxembourg, la CSSF a anticipe l'esprit du considérant 66 via la circulaire CSSF 22/806 sur les arrangements d'externalisation, qui impose deja une analyse precontractuelle documentee et une notification préalable pour tout outsourcing matériel TIC. Depuis l'entree en application de DORA le 17 janvier 2025, la loi du 1er juillet 2024 portant mise en œuvre de DORA désigné la CSSF et le CAA comme autorités competentes et leur confere un pouvoir de sanction administrative pouvant atteindre 1% du chiffre d'affaires journalier moyen du prestataire tiers critique.

Pratique Luxgap : dans tout dossier precontractuel TIC luxembourgeois, nous fusionnons les exigences CSSF 22/806 (notification, registre d'externalisation, plan de sortie teste) avec celles du considérant 66 DORA dans un seul livrable opposable, evitant la double rédaction et les divergences entre les deux référentiels.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 66 eclaire les articles 28 a 30 de DORA en imposant une analyse precontractuelle approfondie avant toute signature d'un contrat TIC. En pratique, la CSSF sanctionné les entités financieres qui signent un contrat cloud, SaaS ou fintech sans dossier de due diligence opposable : pas d'analyse du risque de concentration, pas de vérification des normes de sécurité, pas d'évaluation des conflits d'intérêts, pas de clause de résiliation declenchable. Pour les fonctions critiques ou importantes, l'absence de preuve que vous avez exige les standards les plus eleves (ISO 27001, SOC 2 Type II, PCI DSS, hébergement souverain) suffit a caracteriser un manquement.

Les 5 piliers de l'analyse precontractuelle exigee par le considérant 66

Criticite du service : qualification fonction critique ou importante au sens de l'article 3(22), avec impact sur la continuite opérationnelle.
Approbations supervisoires : notification CSSF préalable pour outsourcing matériel (circulaire CSSF 22/806), accord ACPR si succursale, autorisations sectorielles AIFM/UCITS.
Risque de concentration : cartographie de la dependance a un même prestataire ou a un même datacenter (typiquement AWS Francfort, Azure Pays-Bas, GCP Belgique) sur plusieurs fonctions critiques.
Diligence raisonnable : vérification financiere, juridique, technique, ESG, sous-traitance en cascade, localisation des données et personnel.
Conflits d'intérêts : prestataire détenu par un concurrent, lien capitalistique avec un dirigeant, prestation croisee avec un sous-traitant deja engage.

Les clauses de résiliation que le considérant 66 vous oblige a prévoir

Le texte enumere explicitement les circonstances qui doivent déclencher une résiliation contractuelle : violations significatives de la loi ou du contrat, alteration de la performance, faiblesses averees dans la gestion du risque TIC du prestataire, et incapacite de la CSSF a superviser efficacement l'entité financiere. Concretement, vos contrats doivent contenir des exit triggers objectifs (KPI dégradés, incidents repetes, expiration de certification ISO 27001, refus d'audit CSSF) et un plan de sortie testé, pas seulement une clause cosmetique de 30 jours de preavis.

Comment Luxgap automatise ce risque

Notre Luxgap Pre-Contract Sentinel transforme l'analyse precontractuelle DORA en un dossier opposable a la CSSF, signe cryptographiquement, livre en 72h sur n'importe quel prestataire TIC envisage. Un agent LLM spécialisé interroge en parallele les bases publiques (registre RCS, registre ESMA, EBA Register, HIBP, base CVE, certifications ISO en ligne), aspire le rapport SOC 2 du prestataire, scanne ses sous-traitants declares, et produit un score de risque de concentration calcule sur l'ensemble de votre cartographie outsourcing CSSF 22/806 existante.

Scanne automatiquement le prestataire envisage et identifié ses sous-traitants en cascade via OSINT, BGP routing et certificats TLS, sans dependre des déclarations du fournisseur.
Calcule le score de concentration en croisant votre registre d'externalisation existant avec les datacenters, hyperscalers et regions cloud du candidat.
Detecte les conflits d'intérêts via croisement RCS Luxembourg, RBE, registres UBO européens et profils LinkedIn des dirigeants signataires.
Genere le dossier de diligence raisonnable au format attendu par la CSSF (circulaire 22/806 annexe 1) et la matrice de qualification fonction critique au sens de l'article 3(22) DORA.
Pre-redige les clauses de résiliation declenchables avec KPI mesurables et exit triggers automatiques aligne sur le considérant 66.
Alerte en temps reel quand une certification ISO 27001 ou SOC 2 d'un prestataire deja contractualise approche de l'expiration.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent une analyse precontractuelle gratuite sous 48h sur un prestataire TIC reel de votre portefeuille, pour materialiser la profondeur du dossier opposable avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 66

Ils nous font confiance

Avant de discuter