Je dois mettre mon organisation luxembourgeoise en conformité au considérant 73 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLa CSSF sanctionné régulièrement les entités financières luxembourgeoises dont les contrats TIC ne contiennent qu'une clause d'audit théorique, jamais exercée et souvent vidée de sa substance par le prestataire (préavis de 90 jours, audit sur site interdit, copies refusées, périmètre limité aux politiques génériques). Le considérant 73 du DORA rappelle que ces droits doivent être réels, opposables et étendus à l'autorité compétente elle-même. En cas d'incident, l'absence d'exercice documenté du droit d'audit est interprétée comme un défaut de surveillance continue, ce qui aggrave la responsabilité de l'entité financière sur l'ensemble de la chaîne d'externalisation TIC.Les clauses d'audit qui tiennent réellement la route face à la CSSFDroit d'accès, d'inspection et d'audit exercé directement par l'entité financière ou par un tiers mandaté (cabinet d'audit, pooled audit sectoriel).Droit de prendre des copies des éléments probants (logs, configurations, rapports de tests d'intrusion, certificats), pas uniquement de les consulter sur place.Coopération totale du prestataire pendant l'audit, sans clause de rétention abusive ni facturation dissuasive du temps passé.Droit d'inspection de la CSSF sur préavis, opposable au prestataire et à toute la chaîne de sous-traitance TIC.Protection des informations confidentielles encadrée (NDA, salle de data room, masquage des données d'autres clients) sans devenir un prétexte pour bloquer l'audit.Fréquence minimale, déclencheurs ad hoc (incident majeur, changement de contrôle, dégradation SLA) et délais de préavis raisonnables explicitement chiffrés.Comment Luxgap automatise ce risqueNotre Luxgap Audit Rights Enforcer transforme vos clauses d'audit dormantes en programme d'audit TIC réellement exécuté et opposable à la CSSF. L'outil scanne automatiquement vos contrats TIC stockés dans SharePoint, DocuWare ou Odoo via un agent LLM spécialisé, extrait les clauses d'audit existantes, les confronte à la grille DORA articles 28 à 30 et au considérant 73, puis pilote le calendrier d'exercice effectif de ces droits auprès de chaque prestataire critique.Détecte automatiquement, dans vos contrats TIC, l'absence ou la faiblesse des clauses d'accès, d'inspection, d'audit et de copie, avec un score de robustesse par fournisseur.Génère les avenants prêts à signer pour aligner chaque contrat sur le standard DORA, déclinés par typologie (cloud hyperscaler, SaaS métier, prestataire local eBRC ou LuxConnect, sous-traitant en cascade).Planifie et orchestre les audits réels, mutualisés ou individuels, avec collecte horodatée des éléments probants (logs Defender, Sentinel, AWS CloudTrail, rapports SOC 2 et ISO 27001).Alerte la CSSF-ready inbox dès qu'un prestataire critique refuse, retarde ou conditionne abusivement un droit d'audit prévu au contrat.Produit un rapport PDF cryptographiquement scellé, opposable à la CSSF, qui démontre l'exercice effectif et continu de la surveillance prévue au considérant 73.Dispon...

Considérant 73 DORA — Considérant 73

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 73

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(73)

Les contrats de fourniture de services TIC qui soutiennent des fonctions critiques ou importantes devraient également contenir des dispositions permettant l’exercice des droits d’accès, d’inspection et d’audit par l’entité financière ou par un tiers désigné, et le droit de prendre des copies en tant qu’outils essentiels pour permettre aux entités financières d’assurer un suivi permanent des performances du prestataire tiers de services TIC, parallèlement à la coopération totale de ce prestataire de services lors des inspections. De la même manière, l’autorité compétente de l’entité financière devrait être habilitée, moyennant préavis, à inspecter et à auditer le prestataire tiers de services TIC, dans le respect de la protection des informations confidentielles.

Spécificité Luxembourg

circulaire CSSF 22/806 du 22 avril 2022 sur les arrangements d'externalisation, lue avec le règlement CSSF 20-04

Au Luxembourg, la CSSF est l'autorité compétente qui exerce directement le droit d'inspection prévu au considérant 73 sur les prestataires TIC des entités financières supervisées. La circulaire CSSF 22/806 sur l'outsourcing IT, lue avec le règlement CSSF 20-04, exige déjà que les contrats TIC contiennent des droits d'audit étendus à la CSSF et à ses mandataires, avec accès physique aux locaux du prestataire et de ses sous-traitants, y compris ceux établis hors UE.

Pratique Luxgap : nous cartographions chaque contrat TIC sur la double grille DORA + circulaire 22/806 et préparons les avenants de mise en conformité avant la prochaine campagne SREP ou la prochaine demande d'information CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

La CSSF sanctionné régulièrement les entités financières luxembourgeoises dont les contrats TIC ne contiennent qu'une clause d'audit théorique, jamais exercée et souvent vidée de sa substance par le prestataire (préavis de 90 jours, audit sur site interdit, copies refusées, périmètre limité aux politiques génériques). Le considérant 73 du DORA rappelle que ces droits doivent être réels, opposables et étendus à l'autorité compétente elle-même. En cas d'incident, l'absence d'exercice documenté du droit d'audit est interprétée comme un défaut de surveillance continue, ce qui aggrave la responsabilité de l'entité financière sur l'ensemble de la chaîne d'externalisation TIC.

Les clauses d'audit qui tiennent réellement la route face à la CSSF

Droit d'accès, d'inspection et d'audit exercé directement par l'entité financière ou par un tiers mandaté (cabinet d'audit, pooled audit sectoriel).
Droit de prendre des copies des éléments probants (logs, configurations, rapports de tests d'intrusion, certificats), pas uniquement de les consulter sur place.
Coopération totale du prestataire pendant l'audit, sans clause de rétention abusive ni facturation dissuasive du temps passé.
Droit d'inspection de la CSSF sur préavis, opposable au prestataire et à toute la chaîne de sous-traitance TIC.
Protection des informations confidentielles encadrée (NDA, salle de data room, masquage des données d'autres clients) sans devenir un prétexte pour bloquer l'audit.
Fréquence minimale, déclencheurs ad hoc (incident majeur, changement de contrôle, dégradation SLA) et délais de préavis raisonnables explicitement chiffrés.

Comment Luxgap automatise ce risque

Notre Luxgap Audit Rights Enforcer transforme vos clauses d'audit dormantes en programme d'audit TIC réellement exécuté et opposable à la CSSF. L'outil scanne automatiquement vos contrats TIC stockés dans SharePoint, DocuWare ou Odoo via un agent LLM spécialisé, extrait les clauses d'audit existantes, les confronte à la grille DORA articles 28 à 30 et au considérant 73, puis pilote le calendrier d'exercice effectif de ces droits auprès de chaque prestataire critique.

Détecte automatiquement, dans vos contrats TIC, l'absence ou la faiblesse des clauses d'accès, d'inspection, d'audit et de copie, avec un score de robustesse par fournisseur.
Génère les avenants prêts à signer pour aligner chaque contrat sur le standard DORA, déclinés par typologie (cloud hyperscaler, SaaS métier, prestataire local eBRC ou LuxConnect, sous-traitant en cascade).
Planifie et orchestre les audits réels, mutualisés ou individuels, avec collecte horodatée des éléments probants (logs Defender, Sentinel, AWS CloudTrail, rapports SOC 2 et ISO 27001).
Alerte la CSSF-ready inbox dès qu'un prestataire critique refuse, retarde ou conditionne abusivement un droit d'audit prévu au contrat.
Produit un rapport PDF cryptographiquement scellé, opposable à la CSSF, qui démontre l'exercice effectif et continu de la surveillance prévue au considérant 73.

Disponible en complément d'un mandat CISO ou DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos contrats TIC réels, avec un audit blanc gratuit sous 48h pour mesurer l'écart entre vos clauses d'audit actuelles et le standard DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 73

Ils nous font confiance

Avant de discuter