Je dois mettre mon organisation luxembourgeoise en conformité au considérant 77 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 77 eclaire un point souvent mal compris par les entités financieres luxembourgeoises supervisees par la CSSF : le cadre de supervision DORA des prestataires TIC ne visé que les prestataires critiques désignés par les ESAs, mais cette désignation prend en compte l'ensemble de la structure du groupe du prestataire. Résultat : une banque qui contracte avec une filiale luxembourgeoise d'un hyperscaler peut voir ce prestataire désigné critique au niveau groupe, même si l'entité LU semble modeste. L'erreur classique est de raisonner entité par entité plutot que par groupe consolide lors de la cartographie des dependances TIC exigee a l'article 28.Ce que ce considérant change concretement pour vos contrats fournisseursLa cartographie article 28 doit remonter au groupe consolide du prestataire, pas seulement a l'entité contractante luxembourgeoise.Un prestataire non désigné automatiquement peut opter volontairement pour la supervision : verifiez ce statut, il modifie votre exposition residuelle.Les prestataires deja supervises au titre des missions du SEBC (article 127(2) TFUE) sont exemptes : evitez de dupliquer les diligences sur TARGET2, T2S'ou les CCP supervises par la BCE.Les critères quantitatifs et qualitatifs (parts de marché, substituabilite, fonctions critiques supportees) doivent être tracables dans votre registre TIC pour justifier le classement criticite face a la CSSF.La liste des prestataires critiques désignés est publiee par les ESAs : votre registre doit être rapproche de cette liste a chaque mise à jour.Comment Luxgap automatise ce risqueNotre Luxgap Critical Provider Radar resout le casse-tete de la criticite groupe : l'outil reconstruit automatiquement l'arborescence corporate de chacun de vos prestataires TIC en croisant LEI GLEIF, registres commerciaux européens, données ESAs et Open Corporates, pour vous dire en temps reel si votre contrat avec une filiale LU vous exposé en réalité a un groupe susceptible d'être désigné critique par les ESAs au sens DORA.Reconcilie chaque entree de votre registre TIC article 28 avec la liste officielle des prestataires critiques publiee par les ESAs, mise à jour quotidiennement.Reconstruit l'arborescence groupe (UBO, maison mere, filiales soeurs) de chaque prestataire via LEI GLEIF et registres commerciaux pour appliquer le critère groupe du considérant 77.Calcule un score de criticite prévisionnel base sur les critères quantitatifs DORA (nombre d'entités financieres clientes, substituabilite, fonctions critiques supportees) avant la désignation officielle ESAs.Detecte automatiquement les prestataires deja supervises au titre du SEBC (TARGET2, T2S, CCP BCE) pour eviter les diligences redondantes.Alerte par Teams ou email des qu'un de vos prestataires bascule en statut critique, ou opte volontairement pour le cadre de supervision.Produit un rapport PDF horodate opposable a la CSSF lors d'un contrôle, demontrant la rigueur de votre évaluation criticite article 28 ...

Considérant 77 DORA — Considérant 77

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 77

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(77)

Le cadre de supervision ne devrait s’appliquer qu’aux prestataires tiers critiques de services TIC. Un mécanisme de désignation devrait donc être mis en place pour tenir compte de la dimension et de la nature de la dépendance du secteur financier à l’égard de ces prestataires tiers de services TIC. Ce mécanisme devrait consister en un ensemble de critères quantitatifs et qualitatifs définissant les paramètres de criticité servant de référence aux fins de l’inclusion dans le cadre de supervision. Afin de veiller à l’exactitude de cette évaluation, et indépendamment de la structure sociale du prestataire tiers de services TIC, ces critères devraient, dans le cas d’un prestataire tiers de services TIC faisant partie d’un groupe plus large, prendre en considération l’ensemble de la structure du groupe du prestataire tiers de services TIC. D’une part, les prestataires tiers critiques de services TIC, qui ne sont pas automatiquement désignés par suite de l’application de ces critères, devraient avoir la possibilité d’adhérer au cadre de supervision à titre volontaire; d’autre part, les prestataires tiers de services TIC, qui sont déjà soumis à des cadres de supervision à l’appui de la réalisation des missions du Système européen de banques centrales visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne, devraient en être exemptés.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 22/806

Au Luxembourg, la CSSF est l'autorité competente pour la supervision DORA des entités financieres, et elle coopere avec l'ESAs Joint Oversight Forum pour les prestataires TIC critiques désignés. La loi du 1er juin 2023 portant mise en œuvre du règlement DORA précisé les pouvoirs de la CSSF en matière de surveillance de la chaîne d'externalisation TIC, en complement de la circulaire CSSF 22/806 sur les arrangements d'externalisation qui reste applicable pour le périmètre non couvert par DORA.

Pratique Luxgap : sur la place financiere luxembourgeoise très concentree sur quelques hyperscalers et data centers Tier IV (LuxConnect, eBRC), nous recommandons un croisement systématique entre votre registre DORA et le registre d'externalisation circulaire 22/806, pour eviter les angles morts et anticiper les designations ESAs sur les prestataires locaux.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 77 eclaire un point souvent mal compris par les entités financieres luxembourgeoises supervisees par la CSSF : le cadre de supervision DORA des prestataires TIC ne visé que les prestataires critiques désignés par les ESAs, mais cette désignation prend en compte l'ensemble de la structure du groupe du prestataire. Résultat : une banque qui contracte avec une filiale luxembourgeoise d'un hyperscaler peut voir ce prestataire désigné critique au niveau groupe, même si l'entité LU semble modeste. L'erreur classique est de raisonner entité par entité plutot que par groupe consolide lors de la cartographie des dependances TIC exigee a l'article 28.

Ce que ce considérant change concretement pour vos contrats fournisseurs

La cartographie article 28 doit remonter au groupe consolide du prestataire, pas seulement a l'entité contractante luxembourgeoise.
Un prestataire non désigné automatiquement peut opter volontairement pour la supervision : verifiez ce statut, il modifie votre exposition residuelle.
Les prestataires deja supervises au titre des missions du SEBC (article 127(2) TFUE) sont exemptes : evitez de dupliquer les diligences sur TARGET2, T2S'ou les CCP supervises par la BCE.
Les critères quantitatifs et qualitatifs (parts de marché, substituabilite, fonctions critiques supportees) doivent être tracables dans votre registre TIC pour justifier le classement criticite face a la CSSF.
La liste des prestataires critiques désignés est publiee par les ESAs : votre registre doit être rapproche de cette liste a chaque mise à jour.

Comment Luxgap automatise ce risque

Notre Luxgap Critical Provider Radar resout le casse-tete de la criticite groupe : l'outil reconstruit automatiquement l'arborescence corporate de chacun de vos prestataires TIC en croisant LEI GLEIF, registres commerciaux européens, données ESAs et Open Corporates, pour vous dire en temps reel si votre contrat avec une filiale LU vous exposé en réalité a un groupe susceptible d'être désigné critique par les ESAs au sens DORA.

Reconcilie chaque entree de votre registre TIC article 28 avec la liste officielle des prestataires critiques publiee par les ESAs, mise à jour quotidiennement.
Reconstruit l'arborescence groupe (UBO, maison mere, filiales soeurs) de chaque prestataire via LEI GLEIF et registres commerciaux pour appliquer le critère groupe du considérant 77.
Calcule un score de criticite prévisionnel base sur les critères quantitatifs DORA (nombre d'entités financieres clientes, substituabilite, fonctions critiques supportees) avant la désignation officielle ESAs.
Detecte automatiquement les prestataires deja supervises au titre du SEBC (TARGET2, T2S, CCP BCE) pour eviter les diligences redondantes.
Alerte par Teams ou email des qu'un de vos prestataires bascule en statut critique, ou opte volontairement pour le cadre de supervision.
Produit un rapport PDF horodate opposable a la CSSF lors d'un contrôle, demontrant la rigueur de votre évaluation criticite article 28 et 31.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre TIC reel, avec un scan gratuit sous 48h pour identifier vos prestataires susceptibles d'être désignés critiques avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 77

Ils nous font confiance

Avant de discuter