Je dois mettre mon organisation luxembourgeoise en conformité au considérant 81 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 81 acte une règle de souveraineté numérique souvent sous-estimée : un prestataire tiers TIC critique établi hors UE (typiquement les hyperscalers américains AWS, Microsoft Azure, Google Cloud, ou des SaaS critiques comme Salesforce, ServiceNow) doit créer une filiale UE dans les 12 mois suivant sa désignation comme critique par les ESAs. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF : continuer a contractualiser avec l'entité mere US ou UK sans vérifier que le prestataire a bien procede a sa constitution UE dans les délais, ce qui exposé le client a une rupture de service si le superviseur principal active ses pouvoirs coercitifs (astreintes) et que le prestataire perd le droit de servir l'UE.Ce que ce considérant change pour vos contrats cloud existantsCartographier vos prestataires TIC susceptibles d'être désignés critiques par les ESAs (volume, substituabilite, criticite des fonctions supportees).Inserer dans vos contrats une EU subsidiary clause : engagement du prestataire a établir une filiale UE dans les 12 mois en cas de désignation, sous peine de résiliation sans indemnite.Vérifier la réalité de la presence UE : une boite aux lettres a Dublin ou Luxembourg ne suffit pas, il faut une filiale au sens de la directive 2013/34/UE (contrôle, comptes consolides, substance opérationnelle).Anticiper le plan de sortie (article 28 DORA) au cas ou le prestataire refuserait de se conformer a l'obligation de subsidiarisation.Tracer la chaîne intra-groupe : qui signe le contrat (entité UE vs maison mere US), qui hébergé reellement les données, qui repond aux requêtes du superviseur principal.Comment Luxgap automatise ce risqueNotre Luxgap Third-Country Exposure Radar transforme la question "mes prestataires critiques sont-ils vraiment incorpores dans l'UE ?" en preuve documentaire opposable a la CSSF. L'outil croise votre registre d'informations DORA, les données RBE/RCS luxembourgeois, les registres commerciaux UE equivalents (Handelsregister, Companies House Ireland, KBO belge) et les flux ESAs pour materialiser la réalité juridique de chaque prestataire TIC, sans demander a l'équipe achats de remplir le moindre formulaire.Detecte automatiquement parmi vos prestataires TIC ceux susceptibles d'être désignés critiques par les ESAs en croisant criticite contractuelle, part de marché et substituabilite.Vérifié l'existence et la substance reelle d'une filiale UE au sens de la directive 2013/34/UE (capital, dirigeants, comptes deposes, effectif declare).Alerte des qu'un prestataire critique est désigné par les ESAs et déclenche un compte a rebours de 12 mois avec jalons trimestriels de vérification.Genere une clause contractuelle type EU incorporation a inserer en amendement de vos contrats cloud existants, alignee sur le considérant 81 et l'article 31 DORA.Produit un rapport PDF horodate, opposable a la CSSF lors d'une inspection, qui démontré votre diligence sur la presence UE de vos pre...

Considérant 81 DORA — Considérant 81

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 81

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(81)

Dans ce contexte, la nécessité pour le superviseur principal d’imposer des astreintes pour contraindre les prestataires tiers critiques de services TIC à se conformer aux obligations en matière de transparence et d’accès énoncées dans le présent règlement ne devrait pas être compromise par les difficultés liées à l’exécution de ces astreintes en ce qui concerne les prestataires tiers critiques de services TIC établis dans des pays tiers. Afin de garantir le caractère exécutoire de ces astreintes, ainsi que de permettre une mise en œuvre rapide des procédures permettant de veiller au respect des droits de la défense des prestataires tiers critiques de services TIC dans le contexte du mécanisme de désignation et de la formulation de recommandations, ces prestataires tiers critiques de services TIC, qui fournissent à des entités financières des services ayant une incidence sur la fourniture de services financiers, devraient être tenus de maintenir une présence adéquate dans l’Union. En raison de la nature de la supervision, et de l’absence de dispositifs comparables dans d’autres juridictions, il n’existe aucun autre mécanisme approprié qui garantisse la réalisation de cet objectif au moyen d’une coopération efficace avec les autorités de surveillance financière des pays tiers en ce qui concerne la surveillance de l’incidence des risques opérationnels numériques que représentent les prestataires tiers systémiques de services TIC pouvant être considérés comme des prestataires tiers critiques de services TIC établis dans des pays tiers. Par conséquent, afin de continuer à fournir des services TIC à des entités financières dans l’Union, un prestataire tiers de services TIC établi dans un pays tiers qui a été désigné comme critique conformément au présent règlement devrait prendre, dans un délai de 12 mois à compter de cette désignation, toutes les dispositions nécessaires pour veiller à sa constitution dans l’Union, en établissant une filiale, définie dans l’ensemble de l’acquis de l’Union, notamment dans la directive 2013/34/UE du Parlement européen et du Conseil (21).

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 22/806

Au Luxembourg, la CSSF est l'autorité competente pour superviser le respect de DORA par les entités financieres établies sur le territoire (banques, PSF, fonds, assurances via le CAA pour ce dernier). La loi du 1er aout 2024 portant mise en œuvre du règlement DORA désigné la CSSF comme point de contact pour les questions liées a la chaîne de sous-traitance TIC, en complement de la circulaire CSSF 22/806 sur les arrangements d'externalisation qui reste applicable pour les aspects non couverts par DORA.

Pratique Luxgap : pour les entités supervisees CSSF, croisez systématiquement la désignation ESAs avec la circulaire 22/806 (notification préalable d'externalisation critique) pour eviter le double angle mort réglementaire entre DORA et le cadre national d'outsourcing.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 81 acte une règle de souveraineté numérique souvent sous-estimée : un prestataire tiers TIC critique établi hors UE (typiquement les hyperscalers américains AWS, Microsoft Azure, Google Cloud, ou des SaaS critiques comme Salesforce, ServiceNow) doit créer une filiale UE dans les 12 mois suivant sa désignation comme critique par les ESAs. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF : continuer a contractualiser avec l'entité mere US ou UK sans vérifier que le prestataire a bien procede a sa constitution UE dans les délais, ce qui exposé le client a une rupture de service si le superviseur principal active ses pouvoirs coercitifs (astreintes) et que le prestataire perd le droit de servir l'UE.

Ce que ce considérant change pour vos contrats cloud existants

Cartographier vos prestataires TIC susceptibles d'être désignés critiques par les ESAs (volume, substituabilite, criticite des fonctions supportees).
Inserer dans vos contrats une EU subsidiary clause : engagement du prestataire a établir une filiale UE dans les 12 mois en cas de désignation, sous peine de résiliation sans indemnite.
Vérifier la réalité de la presence UE : une boite aux lettres a Dublin ou Luxembourg ne suffit pas, il faut une filiale au sens de la directive 2013/34/UE (contrôle, comptes consolides, substance opérationnelle).
Anticiper le plan de sortie (article 28 DORA) au cas ou le prestataire refuserait de se conformer a l'obligation de subsidiarisation.
Tracer la chaîne intra-groupe : qui signe le contrat (entité UE vs maison mere US), qui hébergé reellement les données, qui repond aux requêtes du superviseur principal.

Comment Luxgap automatise ce risque

Notre Luxgap Third-Country Exposure Radar transforme la question "mes prestataires critiques sont-ils vraiment incorpores dans l'UE ?" en preuve documentaire opposable a la CSSF. L'outil croise votre registre d'informations DORA, les données RBE/RCS luxembourgeois, les registres commerciaux UE equivalents (Handelsregister, Companies House Ireland, KBO belge) et les flux ESAs pour materialiser la réalité juridique de chaque prestataire TIC, sans demander a l'équipe achats de remplir le moindre formulaire.

Detecte automatiquement parmi vos prestataires TIC ceux susceptibles d'être désignés critiques par les ESAs en croisant criticite contractuelle, part de marché et substituabilite.
Vérifié l'existence et la substance reelle d'une filiale UE au sens de la directive 2013/34/UE (capital, dirigeants, comptes deposes, effectif declare).
Alerte des qu'un prestataire critique est désigné par les ESAs et déclenche un compte a rebours de 12 mois avec jalons trimestriels de vérification.
Genere une clause contractuelle type EU incorporation a inserer en amendement de vos contrats cloud existants, alignee sur le considérant 81 et l'article 31 DORA.
Produit un rapport PDF horodate, opposable a la CSSF lors d'une inspection, qui démontré votre diligence sur la presence UE de vos prestataires TIC critiques.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre d'informations DORA reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux prestataires non encore incorpores dans l'UE.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 81

Ils nous font confiance

Avant de discuter