Je dois mettre mon organisation luxembourgeoise en conformité au considérant 68 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 68 éclaire les articles 28 à 30 de DORA en imposant une harmonisation des clauses contractuelles minimales avec chaque prestataire TIC. En pratique, la CSSF sanctionné les entités financières luxembourgeoises (banques, PSF, fonds, assureurs) dont les contrats cloud ou SaaS sont signés sur les CGV standards du fournisseur, sans les clauses DORA obligatoires : droits d'audit, localisation des données, plans de sortie, sous-traitance en cascade, niveaux de service mesurables. Le piège classique : croire qu'un contrat Microsoft 365 ou AWS signé en 2021 reste valable. Il ne l'est pas, et la CSSF demande la preuve de renégociation lors de ses inspections SREP TIC.Les domaines contractuels minimaux que DORA exigeDescription complète et localisation des fonctions TIC fournies, avec identification des fonctions critiques ou importantes au sens de l'article 3(22)Niveaux de service quantifiables (disponibilité, RTO, RPO, MTTR) et pénalités en cas de manquementDroits d'audit et d'inspection sur site, étendus aux sous-traitants TIC en cascadeObligations de coopération en cas d'incident TIC majeur et délais de notification au client financierStratégie de sortie documentée et testée, avec assistance à la réversibilitéClauses de résiliation déclenchables sur défaillance du prestataire ou injonction de la CSSFLocalisation des données et conformité aux exigences de transfert hors UE (Schrems II, DPF)Coopération avec les autorités de supervision, y compris l'ESA chef de file si le prestataire est désigné critiqueComment Luxgap automatise ce risqueNotre Luxgap Contract Harmonizer élimine la corvée de relire 200 contrats fournisseurs ligne par ligne : un agent IA spécialisé lit automatiquement vos contrats TIC stockés dans SharePoint, DocuWare ou Odoo Documents, et détecte en quelques minutes les clauses DORA manquantes par rapport au référentiel article 30. L'outil va chercher les contrats lui-meme via connecteurs natifs M365, Google Workspace, eBRC et LuxConnect, sans demander à votre équipe juridique de remplir un seul tableur.Scanne automatiquement chaque contrat TIC stocké dans vos systèmes documentaires et extrait les clauses pertinentes via un modèle LLM entrainé sur le corpus DORA et les orientations EBACalcule un score de conformité DORA contrat par contrat, avec heatmap des clauses manquantes (audit, sortie, sous-traitance, SLA, localisation)Génère des avenants prêts à signer, adaptés à la typologie du prestataire (hyperscaler, éditeur SaaS niche, prestataire local luxembourgeois)Alerte en temps réel quand un nouveau contrat TIC est signé dans Odoo ou Coupa sans passage par le circuit de validation DORASuit la chaîne de sous-traitance en cascade et identifié les prestataires TIC critiques candidats à la désignation par les ESAsProduit un dossier PDF horodaté et cryptographiquement scellé, opposable à la CSSF lors d'une inspection TIC, démontrant la conformité article 30Disponible en complément d'un mandat CISO Luxgap ou e...

Considérant 68 DORA — Considérant 68

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 68

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(68)

Afin d’évaluer et de contrôler régulièrement la capacité du prestataire tiers de services TIC à fournir en toute sécurité des services à une entité financière sans effets préjudiciables sur la résilience opérationnelle numérique d’une entité financière, plusieurs éléments contractuels clés avec les prestataires tiers de services TIC devraient être harmonisés. Cette harmonisation devrait couvrir les domaines minimaux qui sont fondamentaux pour permettre à l’entité financière d’assurer un suivi complet des risques qui pourraient apparaître chez le prestataire tiers de services TIC, dans la perspective de la nécessité d’une entité financière de garantir sa résilience numérique, car celle-ci dépend fortement de la stabilité, de la fonctionnalité, de la disponibilité et de la sécurité des services TIC reçus.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre de DORA et Circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité compétente DORA pour l'ensemble du secteur financier, y compris les PSF de support (article 29-3 et suivants de la loi modifiée du 5 avril 1993). La loi du 1er aout 2024 portant mise en œuvre de DORA précise que la CSSF peut exiger la communication intégrale du registre d'information TIC et déclencher des inspections sur place chez les prestataires TIC sous-traités, y compris hors Luxembourg. La CSSF a également publié sa Circulaire CSSF 24/847 sur la gestion des risques TIC qui complète DORA sur le périmètre national.

Pratique Luxgap : nous préparons votre registre d'information TIC au format CSSF attendu (taxonomie ESA, identifiants LEI, classification fonctions critiques) et le tenons à jour automatiquement via Luxgap Contract Harmonizer, pret à être soumis lors du reporting annuel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 68 éclaire les articles 28 à 30 de DORA en imposant une harmonisation des clauses contractuelles minimales avec chaque prestataire TIC. En pratique, la CSSF sanctionné les entités financières luxembourgeoises (banques, PSF, fonds, assureurs) dont les contrats cloud ou SaaS sont signés sur les CGV standards du fournisseur, sans les clauses DORA obligatoires : droits d'audit, localisation des données, plans de sortie, sous-traitance en cascade, niveaux de service mesurables. Le piège classique : croire qu'un contrat Microsoft 365 ou AWS signé en 2021 reste valable. Il ne l'est pas, et la CSSF demande la preuve de renégociation lors de ses inspections SREP TIC.

Les domaines contractuels minimaux que DORA exige

Description complète et localisation des fonctions TIC fournies, avec identification des fonctions critiques ou importantes au sens de l'article 3(22)
Niveaux de service quantifiables (disponibilité, RTO, RPO, MTTR) et pénalités en cas de manquement
Droits d'audit et d'inspection sur site, étendus aux sous-traitants TIC en cascade
Obligations de coopération en cas d'incident TIC majeur et délais de notification au client financier
Stratégie de sortie documentée et testée, avec assistance à la réversibilité
Clauses de résiliation déclenchables sur défaillance du prestataire ou injonction de la CSSF
Localisation des données et conformité aux exigences de transfert hors UE (Schrems II, DPF)
Coopération avec les autorités de supervision, y compris l'ESA chef de file si le prestataire est désigné critique

Comment Luxgap automatise ce risque

Notre Luxgap Contract Harmonizer élimine la corvée de relire 200 contrats fournisseurs ligne par ligne : un agent IA spécialisé lit automatiquement vos contrats TIC stockés dans SharePoint, DocuWare ou Odoo Documents, et détecte en quelques minutes les clauses DORA manquantes par rapport au référentiel article 30. L'outil va chercher les contrats lui-meme via connecteurs natifs M365, Google Workspace, eBRC et LuxConnect, sans demander à votre équipe juridique de remplir un seul tableur.

Scanne automatiquement chaque contrat TIC stocké dans vos systèmes documentaires et extrait les clauses pertinentes via un modèle LLM entrainé sur le corpus DORA et les orientations EBA
Calcule un score de conformité DORA contrat par contrat, avec heatmap des clauses manquantes (audit, sortie, sous-traitance, SLA, localisation)
Génère des avenants prêts à signer, adaptés à la typologie du prestataire (hyperscaler, éditeur SaaS niche, prestataire local luxembourgeois)
Alerte en temps réel quand un nouveau contrat TIC est signé dans Odoo ou Coupa sans passage par le circuit de validation DORA
Suit la chaîne de sous-traitance en cascade et identifié les prestataires TIC critiques candidats à la désignation par les ESAs
Produit un dossier PDF horodaté et cryptographiquement scellé, opposable à la CSSF lors d'une inspection TIC, démontrant la conformité article 30

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos contrats réels, avec un audit blanc gratuit sous 48h sur vos 10 prestataires TIC les plus critiques pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 68

Ils nous font confiance

Avant de discuter