Je dois mettre mon organisation luxembourgeoise en conformité au considérant 74 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 74 éclaire l'article 28 du DORA sur les stratégies de sortie. La CSSF sanctionné en pratique deux fautes récurrentes : des contrats TIC sans clause de transition opérationnelle (le prestataire coupe le service à J+30 et l'entité financière se retrouve sans bascule possible), et l'absence de clauses resolution résilient exigées par la directive BRRD 2014/59/UE. Lors d'une résolution bancaire, un fournisseur cloud qui résilie ou suspend pour cause de restructuration peut faire échouer la procédure entière. Le considérant impose donc aux banques, entreprises d'investissement et autres entités financières luxembourgeoises de blinder leurs contrats critiques sur trois axes : préavis minimaux, période de transition obligatoire, et clauses non-termination / non-suspension / non-modification en cas de résolution.Les 5 clauses de sortie que la CSSF attend dans vos contrats TIC critiquesPréavis minimal asymétrique : 90 jours minimum pour le prestataire, plus court pour l'entité financière, avec déclencheurs documentés (défaillance SLA, sanctions internationales, changement de contrôle).Période de transition obligatoire : 6 à 18 mois pendant lesquels le prestataire continue de fournir le service aux conditions contractuelles, le temps de basculer vers un autre fournisseur ou une solution interne.Clause resolution résilient : interdiction de résiliation, suspension ou modification pour motifs de restructuration ou résolution BRRD, tant que l'entité financière honore ses obligations de paiement.Réversibilité technique : engagement contractuel de fournir les données dans un format exploitable, la documentation d'architecture, et l'assistance à la migration (avec SLA et pénalités).Plan de sortie testé : obligation contractuelle de participer à des tests de bascule annuels, avec rapport remis à l'organe de gestion et tenu à disposition de la CSSF.Comment Luxgap automatise ce risqueNotre Luxgap Exit Strategy Vault transforme la stratégie de sortie d'un PDF dormant dans un classeur Légal en plan de bascule exécutable et testé en continu. Un agent IA spécialisé lit chaque contrat TIC critique (importé depuis DocuSign, Ironclad, SharePoint ou votre GED) et détecte en 60 secondes les clauses de sortie manquantes au regard du considérant 74 et de l'article 28 DORA, en croisant avec la classification de criticité issue de votre registre des prestataires TIC.Détecte automatiquement l'absence des clauses non-termination, non-suspension, non-modification dans vos contrats avec fournisseurs cloud, core banking, prestataires de paiement et data centers (eBRC, LuxConnect, Microsoft, AWS, Temenos, Avaloq).Génère pour chaque contrat critique un plan de sortie pré-rempli avec période de transition calibrée selon la complexité du service (IaaS, SaaS critique, core banking) et le délai réaliste de réversibilité.Calcule un score de resolution résilience par contrat, opposable à la CSSF et aux autorités de résolution, avec mapping vers les attent...

Considérant 74 DORA — Considérant 74

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 74

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(74)

Ces accords contractuels devraient également établir des droits de résiliation clairs et des préavis minimaux correspondants, ainsi que des stratégies de sortie spécifiques prévoyant, en particulier, des périodes de transition obligatoires pendant lesquelles les prestataires tiers de services TIC seraient tenus de continuer à fournir les services concernés en vue de réduire le risque de perturbations au niveau de l’entité financière, de permettre à celle-ci de passer à l’utilisation d’autres prestataires tiers de services TIC, ou encore de recourir à des solutions en interne, en fonction de la complexité du service TIC fourni. En outre, les entités financières relevant du champ d’application de la directive 2014/59/UE devraient veiller à ce que les contrats de services TIC pertinents soient solides et pleinement exécutoires en cas de résolution de ces entités financières. Par conséquent, conformément aux attentes des autorités de résolution, ces entités financières devraient veiller à ce que les contrats de services TIC pertinents soient résilients en matière de résolution. Tant qu’elles continuent d’honorer leurs obligations de paiement, ces entités financières devraient faire en sorte, entre autres exigences, que les contrats de services TIC pertinents comportent des clauses de non-résiliation, de non-suspension et de non-modification pour des motifs de restructuration ou de résolution.

Spécificité Luxembourg

loi luxembourgeoise du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d'investissement, et circulaire CSSF 22/806 sur l'externalisation TIC

Au Luxembourg, la Banque centrale du Luxembourg agit comme autorité de résolution nationale aux côtés du Conseil de résolution unique (CRU) pour les établissements significatifs. La loi du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d'investissement transpose la BRRD et exige que les contrats TIC critiques soient resolution résilient, en cohérence directe avec le considérant 74 DORA. La CSSF vérifie cette articulation lors de ses inspections sur la gouvernance TIC.

Pratique Luxgap : nous mappons systématiquement vos clauses contractuelles aux attentes croisées CSSF (circulaire 22/806 sur l'externalisation TIC) et BCL résolution, pour éviter qu'un fournisseur cloud non-UE n'invoque le droit de son siège pour échapper aux clauses non-termination.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 74 éclaire l'article 28 du DORA sur les stratégies de sortie. La CSSF sanctionné en pratique deux fautes récurrentes : des contrats TIC sans clause de transition opérationnelle (le prestataire coupe le service à J+30 et l'entité financière se retrouve sans bascule possible), et l'absence de clauses resolution résilient exigées par la directive BRRD 2014/59/UE. Lors d'une résolution bancaire, un fournisseur cloud qui résilie ou suspend pour cause de restructuration peut faire échouer la procédure entière. Le considérant impose donc aux banques, entreprises d'investissement et autres entités financières luxembourgeoises de blinder leurs contrats critiques sur trois axes : préavis minimaux, période de transition obligatoire, et clauses non-termination / non-suspension / non-modification en cas de résolution.

Les 5 clauses de sortie que la CSSF attend dans vos contrats TIC critiques

Préavis minimal asymétrique : 90 jours minimum pour le prestataire, plus court pour l'entité financière, avec déclencheurs documentés (défaillance SLA, sanctions internationales, changement de contrôle).
Période de transition obligatoire : 6 à 18 mois pendant lesquels le prestataire continue de fournir le service aux conditions contractuelles, le temps de basculer vers un autre fournisseur ou une solution interne.
Clause resolution résilient : interdiction de résiliation, suspension ou modification pour motifs de restructuration ou résolution BRRD, tant que l'entité financière honore ses obligations de paiement.
Réversibilité technique : engagement contractuel de fournir les données dans un format exploitable, la documentation d'architecture, et l'assistance à la migration (avec SLA et pénalités).
Plan de sortie testé : obligation contractuelle de participer à des tests de bascule annuels, avec rapport remis à l'organe de gestion et tenu à disposition de la CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap Exit Strategy Vault transforme la stratégie de sortie d'un PDF dormant dans un classeur Légal en plan de bascule exécutable et testé en continu. Un agent IA spécialisé lit chaque contrat TIC critique (importé depuis DocuSign, Ironclad, SharePoint ou votre GED) et détecte en 60 secondes les clauses de sortie manquantes au regard du considérant 74 et de l'article 28 DORA, en croisant avec la classification de criticité issue de votre registre des prestataires TIC.

Détecte automatiquement l'absence des clauses non-termination, non-suspension, non-modification dans vos contrats avec fournisseurs cloud, core banking, prestataires de paiement et data centers (eBRC, LuxConnect, Microsoft, AWS, Temenos, Avaloq).
Génère pour chaque contrat critique un plan de sortie pré-rempli avec période de transition calibrée selon la complexité du service (IaaS, SaaS critique, core banking) et le délai réaliste de réversibilité.
Calcule un score de resolution résilience par contrat, opposable à la CSSF et aux autorités de résolution, avec mapping vers les attentes BRRD et les RTS DORA sur les accords contractuels.
Orchestre les tests de bascule annuels via runbooks intégrés à Azure DevOps, ServiceNow ou Jira, avec preuves d'exécution horodatées et signées.
Alerte en temps réel via Teams ou Slack lorsqu'un prestataire annonce une restructuration, une acquisition ou une dégradation financière (croisement Dun & Bradstreet, presse spécialisée, registres).
Produit un rapport PDF cryptographiquement scellé, opposable lors d'une inspection CSSF ou d'un dialogue avec la Banque centrale du Luxembourg en sa capacité d'autorité de résolution.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos contrats TIC critiques réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 74

Ils nous font confiance

Avant de discuter