Je dois mettre mon organisation luxembourgeoise en conformité au considérant 78 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 78 cree trois exemptions au cadre de supervision DORA des prestataires tiers TIC critiques : les entités financieres qui fournissent des services TIC a d'autres entités financieres, les prestataires intragroupe, et les prestataires purement nationaux sans incidence transfrontiere. Le piège : croire qu'une exemption de la désignation ESAs vaut exemption de toute vigilance. La CSSF, dans ses activités de surveillance prudentielle classiques, doit au contraire tenir compte du risque TIC que ces prestataires font peser sur l'entité financiere cliente. L'exemption deplace le contrôle, elle ne l'efface pas.Cartographier vos prestataires TIC selon les trois exemptions du considérant 78Prestataire = entité financiere réglementée (ex : une banque depositaire qui vous fournit du cloud privatif, une fintech CSSF qui hébergé votre KYC) : exemptee du Oversight Framework mais soumise a sa propre supervision sectorielle. A documenter dans votre registre article 28 DORA.Prestataire intragroupe (filiale IT du groupe, centre de services partagés au Luxembourg ou en Irlande) : exemptee car couverte par les mécanismes de suivi consolides. Nécessité une convention de services intragroupe formalisee et un reporting risque TIC au niveau holding.Prestataire mono-Etat membre sans incidence transfrontiere : un infogerant luxembourgeois qui ne sert que des entités financieres luxembourgeoises. Exemptee de désignation ESAs mais la CSSF reste competente.Attention au piège : des qu'un prestataire mono-Etat ouvre un POP a Francfort ou prend un client en France, l'exemption tombe.L'exemption ne vous dispense pas des obligations contractuelles DORA articles 28 a 30 (clauses minimales, droits d'audit, stratégie de sortie).Comment Luxgap automatise ce risqueNotre Luxgap ICT Exemption Classifier elimine la zone grise du considérant 78 en classifiant automatiquement chacun de vos prestataires TIC dans l'une des quatre catégories (soumis au Oversight, exempte financier, exempte intragroupe, exempte mono-Etat) et en surveillant en continu les événements qui font basculer une exemption. L'agent IA croise votre registre fournisseurs Sage BOB 50 ou Odoo, les registres CSSF, EBA et ESMA, les structures de groupe declarees au RCS Luxembourg et les empreintes réseau des datacenters pour produire une qualification opposable, sans déclaratif manuel.Detecte automatiquement si un prestataire TIC figure dans les registres publics des autorités financieres (CSSF, EBA, ESMA, EIOPA) et applique l'exemption entité financiere correspondante.Reconstitue la structure de groupe de chaque prestataire via RCS Luxembourg, RBE et bases corporate européennes pour qualifier l'exemption intragroupe.Surveille en temps reel les indicateurs d'incidence transfrontiere (nouveau site, IP allouee hors LU, contrat signe avec une entité étrangère) et alerte sur Teams des qu'une exemption mono-Etat devient caduque.Genere les clauses contractuelles article 28 DORA differenciees selon l...

Considérant 78 DORA — Considérant 78

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 78

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(78)

De la même manière, les entités financières fournissant des services TIC à d’autres entités financières, bien qu’appartenant à la catégorie des prestataires tiers de services TIC au titre du présent règlement, devraient également être exemptées du cadre de supervision étant donné qu’elles sont déjà soumises aux mécanismes de surveillance établis par le droit de l’Union applicable aux services financiers. Le cas échéant, les autorités compétentes devraient tenir compte, dans le contexte de leurs activités de surveillance, du risque lié aux TIC que les entités financières fournissant des services TIC représentent pour les entités financières. De même, en raison des mécanismes de suivi des risques existants au niveau du groupe, la même exemption devrait être instaurée pour les prestataires tiers de services TIC qui fournissent des services principalement aux entités de leur propre groupe. Les prestataires tiers de services TIC fournissant des services TIC uniquement dans un État membre à des entités financières qui ne sont actives que dans cet État membre devraient également être exemptés du mécanisme de désignation en raison de leurs activités limitées et de l’absence d’incidence transfrontière.

Spécificité Luxembourg

circulaire CSSF 22/806 relative aux accords d'externalisation et loi du 1er juin 2023 relative aux marches d'instruments financiers

Au Luxembourg, la CSSF est l'autorité competente pour les activités de surveillance visees au considérant 78. La loi du 1er juin 2023 relative aux marchés d'instruments financiers et les circulaires CSSF relatives a l'externalisation informatique (notamment circulaire CSSF 22/806 sur les accords d'externalisation) precisent que même les prestataires intragroupe ou mono-Etat luxembourgeois exemptes du Oversight Framework restent soumis aux exigences de notification préalable et de gestion du risque d'externalisation. La place financiere comporte de nombreux infogerants luxembourgeois servant exclusivement des PSF, AIFM et OPCVM locaux, typiquement concernes par l'exemption mono-Etat.

Pratique Luxgap : qualifier l'exemption mono-Etat tot dans le cycle contractuel et conserver la preuve de qualification dans le registre article 28 DORA pour anticiper toute inspection sur place CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 78 cree trois exemptions au cadre de supervision DORA des prestataires tiers TIC critiques : les entités financieres qui fournissent des services TIC a d'autres entités financieres, les prestataires intragroupe, et les prestataires purement nationaux sans incidence transfrontiere. Le piège : croire qu'une exemption de la désignation ESAs vaut exemption de toute vigilance. La CSSF, dans ses activités de surveillance prudentielle classiques, doit au contraire tenir compte du risque TIC que ces prestataires font peser sur l'entité financiere cliente. L'exemption deplace le contrôle, elle ne l'efface pas.

Cartographier vos prestataires TIC selon les trois exemptions du considérant 78

Prestataire = entité financiere réglementée (ex : une banque depositaire qui vous fournit du cloud privatif, une fintech CSSF qui hébergé votre KYC) : exemptee du Oversight Framework mais soumise a sa propre supervision sectorielle. A documenter dans votre registre article 28 DORA.
Prestataire intragroupe (filiale IT du groupe, centre de services partagés au Luxembourg ou en Irlande) : exemptee car couverte par les mécanismes de suivi consolides. Nécessité une convention de services intragroupe formalisee et un reporting risque TIC au niveau holding.
Prestataire mono-Etat membre sans incidence transfrontiere : un infogerant luxembourgeois qui ne sert que des entités financieres luxembourgeoises. Exemptee de désignation ESAs mais la CSSF reste competente.
Attention au piège : des qu'un prestataire mono-Etat ouvre un POP a Francfort ou prend un client en France, l'exemption tombe.
L'exemption ne vous dispense pas des obligations contractuelles DORA articles 28 a 30 (clauses minimales, droits d'audit, stratégie de sortie).

Comment Luxgap automatise ce risque

Notre Luxgap ICT Exemption Classifier elimine la zone grise du considérant 78 en classifiant automatiquement chacun de vos prestataires TIC dans l'une des quatre catégories (soumis au Oversight, exempte financier, exempte intragroupe, exempte mono-Etat) et en surveillant en continu les événements qui font basculer une exemption. L'agent IA croise votre registre fournisseurs Sage BOB 50 ou Odoo, les registres CSSF, EBA et ESMA, les structures de groupe declarees au RCS Luxembourg et les empreintes réseau des datacenters pour produire une qualification opposable, sans déclaratif manuel.

Detecte automatiquement si un prestataire TIC figure dans les registres publics des autorités financieres (CSSF, EBA, ESMA, EIOPA) et applique l'exemption entité financiere correspondante.
Reconstitue la structure de groupe de chaque prestataire via RCS Luxembourg, RBE et bases corporate européennes pour qualifier l'exemption intragroupe.
Surveille en temps reel les indicateurs d'incidence transfrontiere (nouveau site, IP allouee hors LU, contrat signe avec une entité étrangère) et alerte sur Teams des qu'une exemption mono-Etat devient caduque.
Genere les clauses contractuelles article 28 DORA differenciees selon le statut d'exemption, evitant de surcharger inutilement un infogerant mono-Etat luxembourgeois avec des obligations Oversight non applicables.
Produit un rapport PDF horodate, opposable a la CSSF lors d'une inspection, qui justifie article par article le statut d'exemption retenu pour chaque prestataire.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre fournisseurs reel, avec un scan gratuit sous 48h pour identifier les exemptions mal qualifiées avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 78

Ils nous font confiance

Avant de discuter