Je dois mettre mon organisation luxembourgeoise en conformité au considérant 80 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 80 DORA — Considérant 80

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 80

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(80)

Le cadre de supervision dépend dans une large mesure du degré de collaboration entre le superviseur principal et le prestataire tiers critique de services TIC fournissant aux entités financières des services ayant une incidence sur la fourniture de services financiers. Une supervision menée à bien repose notamment sur la capacité du superviseur principal à mener avec efficacité des missions de surveillance et des inspections afin d’évaluer les règles, les contrôles et les processus utilisés par les prestataires tiers critiques de services TIC, ainsi que pour évaluer les éventuelles incidences cumulées de leurs activités sur la stabilité financière et l’intégrité du système financier. Dans le même temps, il est essentiel que les prestataires tiers critiques de services TIC suivent les recommandations du superviseur principal et répondent à ses préoccupations. Étant donné que le manque de coopération d’un prestataire tiers critique de services TIC fournissant des services ayant une incidence sur la fourniture de services financiers, tel que le refus d’accorder l’accès à ses locaux ou de communiquer des informations, priverait en fin de compte le superviseur principal de ses outils essentiels lors de l’évaluation des risques liés aux prestataires tiers de services TIC et pourrait nuire à la stabilité financière et à l’intégrité du système financier, il est nécessaire de prévoir également un régime proportionné de sanctions.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente DORA pour la majorite des entités financieres (établissements de crédit, PSF, gestionnaires AIFM, OPCVM), tandis que le CAA couvre le secteur assurance. La loi du 1er aout 2024 portant mise en œuvre de DORA désigné explicitement la CSSF comme point de contact des ESAs pour les prestataires tiers critiques établis ou operant au Luxembourg, et lui confere le pouvoir de relayer les astreintes du superviseur principal.

Pratique Luxgap : pour les acteurs PSF de support hebergeant des données pour des clients regules, anticipez la double pression CSSF (statut PSF) et superviseur principal DORA, en integrant les deux regimes dans une seule matrice de cooperation contractuelle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant eclaire le bras arme du cadre de supervision : les sanctions contre les prestataires tiers critiques TIC qui refusent de cooperer avec le superviseur principal (ESA désignée). En pratique, la CSSF et les ESAs sanctionnent l'entité financiere qui n'a pas anticipe contractuellement ce risque de non-cooperation. Si votre prestataire cloud refuse l'accès a ses locaux ou ne transmet pas les informations demandees, c'est vous, établissement de crédit ou gestionnaire AIFM, qui subissez en premier l'injonction de sortie ou de suspension du service, avec un risque opérationnel immediat.

Les clauses contractuelles que DORA rend indispensables face a ce considérant

Droit d'audit et d'inspection sur site explicitement etendu au superviseur principal et aux autorités competentes (CSSF incluse).
Obligation de cooperation du prestataire avec les missions de surveillance ESAs, y compris fourniture documentaire sous délai contraint.
Clause de sortie ordonnee declenchable des qu'une astreinte périodique est prononcee par le superviseur principal.
Engagement du prestataire de repercuter ces obligations sur ses sous-traitants TIC en cascade (chaîne de sous-traitance).
Reporting trimestriel au comite de direction de l'entité financiere sur les recommandations du superviseur principal et leur traitement.
Penalites contractuelles miroir des astreintes DORA (jusqu'à 1% du chiffre d'affaires journalier mondial du prestataire).

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Cooperation Tracker transforme la théorie de la cooperation prestataire en preuve opposable a la CSSF et aux ESAs. L'outil se connecte a vos contrats signes dans DocuSign ou Adobe Sign, votre référentiel fournisseurs Odoo ou SAP Ariba, et votre GRC (ServiceNow, Archer, OneTrust) pour materialiser en temps reel l'état de cooperation effective de chaque prestataire TIC critique, sans demander a votre RSSI de remplir un seul questionnaire.

Detecte automatiquement les contrats TIC qui n'incluent pas les clauses de cooperation supervision exigees par l'article 30 DORA, en s'appuyant sur un agent LLM spécialisé qui lit le PDF et flag les manques en moins de 60 secondes.
Suit en continu les recommandations emises par le superviseur principal sur vos prestataires critiques (Microsoft, AWS, Google Cloud, BlackRock Aladdin) et alerte sur Teams des qu'une recommandation reste non traitée au-dela de 30 jours.
Calcule un score de probabilité de non-cooperation par prestataire, base sur l'historique d'incidents publics, la juridiction d'incorporation, les certifications expirees et la latence moyenne de réponse aux audits passes.
Genere automatiquement le plan de sortie ordonnee active des qu'une astreinte périodique est publiee contre un prestataire, avec scenarii de bascule technique chiffres.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a la CSSF lors d'un contrôle, demontrant la diligence raisonnable article 28 DORA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre portefeuille prestataires reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 80

Ils nous font confiance

Avant de discuter