Je dois mettre mon organisation luxembourgeoise en conformité au considérant 67 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 67 explique pourquoi DORA ne fixe pas de plafond chiffre d'exposition a un prestataire TIC unique : Bruxelles a refuse l'idée d'un quota rigide pour préserver la liberté contractuelle. Mais cette souplesse a un cout cache : la CSSF attend de chaque entité financiere qu'elle mene son propre diagnostic de concentration, documente et defendable. Les contrôles CSSF sanctionnent les entités qui se sont contentees d'un tableau Excel statique des fournisseurs sans évaluation reelle des interdependances, de la sous-traitance en cascade et de la localisation des sous-traitants pays tiers.Ce que ce considérant impose concretement dans votre cartographieLe considérant influence directement l'interprétation des articles 28 et 29 du DORA (analyse préalable et évaluation du risque de concentration). Pour passer un contrôle CSSF, votre dispositif doit démontrer :Une analyse quantitative de la concentration : combien de fonctions critiques reposent sur un même prestataire TIC, sur un même groupe, sur une même region cloud (eu-west-1, eu-central-1).Une analyse qualitative des interdependances : votre prestataire SaaS bancaire heberge-t-il chez le même hyperscaler que votre messagerie, votre KYC, votre data warehouse.Une cartographie de la sous-traitance en cascade, particulièrement quand un sous-traitant de rang 2 ou 3 est établi hors UE (USA, Inde, UK post-Brexit).Un dialogue documente avec les prestataires critiques désignés par les ESAs, traces et horodates.Une justification ecrite de pourquoi vous jugez le niveau de concentration acceptable, malgré l'absence de seuil légal.Comment Luxgap automatise ce risqueNotre Luxgap Concentration Radar transforme l'absence de seuil chiffre du considérant 67 en un score de concentration defendable devant la CSSF. L'outil aspire en continu votre registre RT (Registre des accords contractuels DORA), vos factures Odoo, vos logs Azure AD et AWS Organizations, et reconstitue automatiquement le graphe complet de vos dependances TIC jusqu'au rang 3 de sous-traitance, sans questionnaire fournisseur a relancer.Calcule un score de concentration par fonction critique (paiements, KYC, valorisation NAV) ponderé par criticite réglementaire et impossibilite de substitution sous 90 jours.Detecte automatiquement les colocataires caches : deux SaaS apparemment independants hébergés sur la même region AWS Frankfurt ou le même datacenter eBRC.Cartographie la sous-traitance en cascade en interrogeant les Trust Centers publics (AWS Artifact, Azure STP, Google CASA) et les DPA des fournisseurs.Alerte en temps reel via Teams ou Slack des qu'un sous-traitant de rang 2 d'un prestataire critique change de localisation vers un pays tiers.Genere un rapport PDF horodate et scelle cryptographiquement, opposable a la CSSF, demontrant l'analyse rigoureuse exigee par les articles 28 et 29 du DORA.Predit la probabilité a 12 mois qu'un prestataire passe sous le seuil de criticite ESAs en croisant son chiffre d'affaires pub...

Considérant 67 DORA — Considérant 67

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 67

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(67)

Afin de remédier à l’effet systémique du risque de concentration des prestataires tiers de services TIC, le présent règlement privilégie une solution équilibrée au moyen d’une approche souple et progressive en ce qui concerne ce risque de concentration, car l’imposition de tout plafond rigide ou de toute limitation stricte serait susceptible d’entraver la conduite des affaires et de restreindre la liberté contractuelle. Les entités financières devraient procéder à une évaluation rigoureuse des accords contractuels qu’elles envisagent afin de déterminer la probabilité qu’un tel risque apparaisse, y compris au moyen d’analyses approfondies des accords de sous-traitance, en particulier lorsqu’ils sont conclus avec des prestataires tiers de services TIC établis dans un pays tiers. À ce stade, et en vue de trouver un juste équilibre entre la nécessité de préserver la liberté contractuelle et celle de garantir la stabilité financière, il n’est pas jugé approprié de définir des règles concernant des plafonds et des limites stricts pour les expositions aux prestataires tiers de services TIC. Dans le contexte du cadre de supervision, un superviseur principal nommé conformément au présent règlement devrait, en ce qui concerne les prestataires tiers critiques de services TIC, veiller tout particulièrement à saisir pleinement l’ampleur des interdépendances, à détecter les cas spécifiques dans lesquels un degré élevé de concentration de prestataires tiers critiques de services TIC dans l’Union est susceptible de mettre à mal la stabilité et l’intégrité du système financier de l’Union et à maintenir un dialogue avec les prestataires tiers critiques de services TIC lorsque ce risque spécifique est avéré.

Spécificité Luxembourg

circulaire CSSF 22/806 sur les arrangements d'externalisation, version revisee DORA

Au Luxembourg, la CSSF est l'autorité competente pour la supervision DORA des entités financieres, et la circulaire CSSF 22/806 sur l'externalisation TIC (revisee pour s'aligner sur DORA) précisé les attentes en matière d'analyse de concentration avant tout accord d'externalisation portant sur une fonction critique ou importante. La place financiere luxembourgeoise presente une concentration structurelle forte sur quelques hebergeurs locaux (eBRC, LuxConnect, POST) et deux hyperscalers (AWS, Azure), ce qui rend l'exercice d'analyse de concentration encore plus sensible.

Pratique Luxgap : preparez votre registre RT au format ESAs ITS et tenez a disposition de la CSSF un dossier spécifique sur les fonctions critiques hébergées chez un même prestataire ou dans une même region cloud, avec un plan de sortie testable sous 12 mois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 67 explique pourquoi DORA ne fixe pas de plafond chiffre d'exposition a un prestataire TIC unique : Bruxelles a refuse l'idée d'un quota rigide pour préserver la liberté contractuelle. Mais cette souplesse a un cout cache : la CSSF attend de chaque entité financiere qu'elle mene son propre diagnostic de concentration, documente et defendable. Les contrôles CSSF sanctionnent les entités qui se sont contentees d'un tableau Excel statique des fournisseurs sans évaluation reelle des interdependances, de la sous-traitance en cascade et de la localisation des sous-traitants pays tiers.

Ce que ce considérant impose concretement dans votre cartographie

Le considérant influence directement l'interprétation des articles 28 et 29 du DORA (analyse préalable et évaluation du risque de concentration). Pour passer un contrôle CSSF, votre dispositif doit démontrer :

Une analyse quantitative de la concentration : combien de fonctions critiques reposent sur un même prestataire TIC, sur un même groupe, sur une même region cloud (eu-west-1, eu-central-1).
Une analyse qualitative des interdependances : votre prestataire SaaS bancaire heberge-t-il chez le même hyperscaler que votre messagerie, votre KYC, votre data warehouse.
Une cartographie de la sous-traitance en cascade, particulièrement quand un sous-traitant de rang 2 ou 3 est établi hors UE (USA, Inde, UK post-Brexit).
Un dialogue documente avec les prestataires critiques désignés par les ESAs, traces et horodates.
Une justification ecrite de pourquoi vous jugez le niveau de concentration acceptable, malgré l'absence de seuil légal.

Comment Luxgap automatise ce risque

Notre Luxgap Concentration Radar transforme l'absence de seuil chiffre du considérant 67 en un score de concentration defendable devant la CSSF. L'outil aspire en continu votre registre RT (Registre des accords contractuels DORA), vos factures Odoo, vos logs Azure AD et AWS Organizations, et reconstitue automatiquement le graphe complet de vos dependances TIC jusqu'au rang 3 de sous-traitance, sans questionnaire fournisseur a relancer.

Calcule un score de concentration par fonction critique (paiements, KYC, valorisation NAV) ponderé par criticite réglementaire et impossibilite de substitution sous 90 jours.
Detecte automatiquement les colocataires caches : deux SaaS apparemment independants hébergés sur la même region AWS Frankfurt ou le même datacenter eBRC.
Cartographie la sous-traitance en cascade en interrogeant les Trust Centers publics (AWS Artifact, Azure STP, Google CASA) et les DPA des fournisseurs.
Alerte en temps reel via Teams ou Slack des qu'un sous-traitant de rang 2 d'un prestataire critique change de localisation vers un pays tiers.
Genere un rapport PDF horodate et scelle cryptographiquement, opposable a la CSSF, demontrant l'analyse rigoureuse exigee par les articles 28 et 29 du DORA.
Predit la probabilité a 12 mois qu'un prestataire passe sous le seuil de criticite ESAs en croisant son chiffre d'affaires public, ses incidents HIBP et ses certifications expirantes.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre RT reel, avec un audit blanc gratuit sous 48h pour materialiser votre score de concentration avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 67

Ils nous font confiance

Avant de discuter