Je dois mettre mon organisation luxembourgeoise en conformité au considérant 76 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 76 pose la pierre angulaire du cadre de supervision de l'Union sur les prestataires tiers critiques de services TIC (CTPP). En pratique, les entités financieres luxembourgeoises (banques, fonds, PSF, assureurs) sous-estiment une mécanique clé : même si le CTPP est supervise directement par le Lead Overseer (une ESA), la responsabilité ultime de la conformité reste a l'entité financiere. La CSSF sanctionné régulièrement les entités qui se retranchent derrière la désignation CTPP de leur fournisseur pour relacher leur propre due diligence contractuelle et opérationnelle.Ce que ce considérant change concretementIl légitime un mécanisme inedit en droit de l'UE : une ESA peut adresser des recommandations directement a un fournisseur non-financier (hyperscaler, SaaS critique, datacenter).Il cantonne ce modèle au secteur financier : ne pas extrapoler aux autres regimes (NIS 2, CRA) ou la logique est differente.Il impose aux entités financieres de cartographier en amont quels prestataires sont susceptibles d'être désignés CTPP, pour anticiper l'impact contractuel et opérationnel.Il oblige a intégrer dans les contrats des clauses permettant a l'entité financiere de repercuter immediatement les recommandations du Lead Overseer (art. 35 DORA).Il cree un risque de concentration regulatoire : si un CTPP refuse de suivre une recommandation, le Lead Overseer peut exiger des entités financieres qu'elles suspendent ou résilient le contrat.Comment Luxgap automatise ce risqueNotre Luxgap CTPP Radar transforme l'incertitude sur la désignation CTPP en signal anticipatif, et garantit que vos contrats TIC sont prets a absorber une recommandation du Lead Overseer avant même qu'elle ne tombe. L'outil scanne en continu vos contrats Odoo, DocuSign, SharePoint et votre registre d'information DORA (art. 28) pour scorer chaque fournisseur sur les critères de désignation des ESAs (criticite systemique, substituabilite, interconnexion), et croise ce score avec les listes publiques publiees par l'EBA, l'ESMA et l'EIOPA.Calcule un score de probabilité de désignation CTPP pour chacun de vos prestataires TIC, base sur les critères du règlement délégué (criticite, parts de marché, substituabilite).Detecte automatiquement les contrats qui ne contiennent pas les clauses d'exécution des recommandations Lead Overseer et propose les avenants types pre-rediges.Alerte en temps reel via Teams ou Slack des qu'un de vos prestataires apparait dans une publication ESAs ou dans un avis CSSF.Genere un plan de sortie (exit strategy art. 28(8) DORA) opposable a la CSSF, avec scénarios de migration chiffres pour vos 5 fournisseurs les plus critiques.Produit un rapport PDF horodate, signe cryptographiquement, demontrant a la CSSF que vous avez anticipe la désignation et adapte vos contrats avant la publication officielle.Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équi...

Considérant 76 DORA — Considérant 76

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 76

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(76)

Afin de promouvoir la convergence et l’efficacité des approches des autorités de surveillance lorsqu’elles traitent le risque lié aux prestataires tiers de services TIC dans le secteur financier, ainsi que de renforcer la résilience opérationnelle numérique des entités financières qui dépendent de prestataires tiers critiques de services TIC pour la prestation de services TIC qui soutiennent la fourniture de services financiers, et de contribuer ainsi à préserver la stabilité du système financier de l’Union et l’intégrité du marché intérieur des services financiers, les prestataires tiers critiques de services TIC devraient être soumis à un cadre de supervision de l’Union. Bien que la mise en place du cadre de supervision soit justifiée par la valeur ajoutée d’une action au niveau de l’Union et en vertu du rôle et des spécificités inhérents à l’utilisation des services TIC dans la fourniture de services financiers, il convient dans le même temps de rappeler que cette solution ne semble appropriée que dans le contexte du présent règlement, qui traite spécifiquement de la résilience opérationnelle numérique dans le secteur financier. Toutefois, ce cadre de supervision ne devrait pas être considéré comme un nouveau modèle de surveillance par l’Union dans les domaines des services et activités financiers.

Spécificité Luxembourg

Circulaire CSSF 22/806 du 22 avril 2022 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF est l'autorité competente nationale pour DORA et participe aux Joint Examination Teams du Lead Overseer. La place financiere luxembourgeoise est particulièrement exposee a la concentration sur quelques hyperscalers (Microsoft, AWS, Google) et sur des prestataires locaux tels que LuxConnect, eBRC ou POST Telecom, dont certains pourraient être désignés CTPP. La circulaire CSSF 22/806 sur l'externalisation TIC continue de s'appliquer en complement de DORA et impose une notification préalable a la CSSF pour les externalisations critiques.

Pratique Luxgap : nous croisons systématiquement votre cartographie DORA art. 28 avec les exigences residuelles de la circulaire 22/806 pour eviter une double conformité mal coordonnee lors d'un contrôle CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 76 pose la pierre angulaire du cadre de supervision de l'Union sur les prestataires tiers critiques de services TIC (CTPP). En pratique, les entités financieres luxembourgeoises (banques, fonds, PSF, assureurs) sous-estiment une mécanique clé : même si le CTPP est supervise directement par le Lead Overseer (une ESA), la responsabilité ultime de la conformité reste a l'entité financiere. La CSSF sanctionné régulièrement les entités qui se retranchent derrière la désignation CTPP de leur fournisseur pour relacher leur propre due diligence contractuelle et opérationnelle.

Ce que ce considérant change concretement

Il légitime un mécanisme inedit en droit de l'UE : une ESA peut adresser des recommandations directement a un fournisseur non-financier (hyperscaler, SaaS critique, datacenter).
Il cantonne ce modèle au secteur financier : ne pas extrapoler aux autres regimes (NIS 2, CRA) ou la logique est differente.
Il impose aux entités financieres de cartographier en amont quels prestataires sont susceptibles d'être désignés CTPP, pour anticiper l'impact contractuel et opérationnel.
Il oblige a intégrer dans les contrats des clauses permettant a l'entité financiere de repercuter immediatement les recommandations du Lead Overseer (art. 35 DORA).
Il cree un risque de concentration regulatoire : si un CTPP refuse de suivre une recommandation, le Lead Overseer peut exiger des entités financieres qu'elles suspendent ou résilient le contrat.

Comment Luxgap automatise ce risque

Notre Luxgap CTPP Radar transforme l'incertitude sur la désignation CTPP en signal anticipatif, et garantit que vos contrats TIC sont prets a absorber une recommandation du Lead Overseer avant même qu'elle ne tombe. L'outil scanne en continu vos contrats Odoo, DocuSign, SharePoint et votre registre d'information DORA (art. 28) pour scorer chaque fournisseur sur les critères de désignation des ESAs (criticite systemique, substituabilite, interconnexion), et croise ce score avec les listes publiques publiees par l'EBA, l'ESMA et l'EIOPA.

Calcule un score de probabilité de désignation CTPP pour chacun de vos prestataires TIC, base sur les critères du règlement délégué (criticite, parts de marché, substituabilite).
Detecte automatiquement les contrats qui ne contiennent pas les clauses d'exécution des recommandations Lead Overseer et propose les avenants types pre-rediges.
Alerte en temps reel via Teams ou Slack des qu'un de vos prestataires apparait dans une publication ESAs ou dans un avis CSSF.
Genere un plan de sortie (exit strategy art. 28(8) DORA) opposable a la CSSF, avec scénarios de migration chiffres pour vos 5 fournisseurs les plus critiques.
Produit un rapport PDF horodate, signe cryptographiquement, demontrant a la CSSF que vous avez anticipe la désignation et adapte vos contrats avant la publication officielle.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre d'information DORA reel, avec un audit blanc gratuit sous 48h pour identifier vos prestataires a risque de désignation avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 76

Ils nous font confiance

Avant de discuter