Je dois mettre mon organisation luxembourgeoise en conformité au considérant 83 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 83 eclaire l'article 41 du DORA : le superviseur principal (ESA désigné) peut inspecter physiquement les datacenters et installations de votre prestataire TIC critique en dehors de l'UE, sous réservé du consentement du prestataire et de la non-opposition de l'autorité locale. En pratique, les entités financieres luxembourgeoises sanctionnées par la CSSF ne sont pas celles qui hébergent hors UE, mais celles qui ont signe des contrats cloud sans clause de cooperation a la supervision DORA permettant ces inspections extraterritoriales. Le piège : decouvrir lors d'une mission de supervision que votre AWS Singapour ou Azure US refuse l'accès aux superviseurs, ce qui déclenche immediatement une obligation de sortie au titre de l'article 28(8).Ce que le considérant 83 impose concretement dans vos contratsClause de consentement préalable irrevocable du prestataire TIC a toute mission de supervision sur site, y compris hors UE.Cartographie précisé des localisations physiques effectives de fourniture du service, distinguant le siège contractuel, l'entité de facturation et les datacenters opérationnels.Engagement du prestataire de ne pas opposer le droit local pour faire obstacle aux pouvoirs du superviseur principal.Identification des pays tiers ou un accord de cooperation administrative AES manque, afin d'évaluer le risque de blocage juridictionnel.Plan de sortie active si une mission de supervision est entravee dans un pays tiers donne.Comment Luxgap automatise ce risqueNotre Luxgap Oversight Reach Mapper rend impossible la mauvaise surprise du superviseur bloque a la frontière : l'outil scanne en continu vos contrats TIC critiques et géolocalisé les installations reelles de fourniture du service, en croisant les déclarations contractuelles avec les données techniques observees (resolutions DNS, IP routing AWS/Azure/GCP, certificats TLS, logs CDN). Un agent LLM spécialisé lit chaque DPA et SLA importe depuis Odoo Contracts, SharePoint ou DocuSign, extrait les clauses de juridiction et de consentement a la supervision, puis calcule un score d'atteignabilite par le superviseur principal pour chaque pays tiers concerne.Detecte automatiquement les datacenters effectifs de chaque prestataire TIC critique en croisant Azure Resource Graph, AWS Config et les logs M365 Tenant Geography.Classifie chaque pays tiers selon l'existence d'un accord de cooperation administrative AES publie, et alerte sur les juridictions a risque (consentement local incertain).Genere les avenants contractuels prets a signer integrant la clause de consentement irrevocable DORA article 30(3) et l'engagement de non-opposition.Alerte en temps reel via Teams ou Slack des qu'un prestataire deplace une charge vers une juridiction non couverte par un accord AES.Produit un rapport PDF horodate opposable a la CSSF lors d'une inspection, demontrant la maîtrise de la portee territoriale de supervision pour chaque prestataire TIC critique.Disponible en complement ...

Considérant 83 DORA — Considérant 83

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 83

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(83)

Les prestataires tiers critiques de services TIC devraient être en mesure de fournir des services TIC depuis n’importe quel endroit du monde, pas nécessairement ou pas uniquement depuis des locaux situés dans l’Union. Les activités de supervision devraient d’abord être menées dans des locaux situés dans l’Union et en interaction avec des entités situées dans l’Union, y compris les filiales établies par des prestataires tiers critiques de services TIC conformément au présent règlement. Toutefois, ces actions au sein de l’Union pourraient ne pas suffire à permettre au superviseur principal de s’acquitter pleinement et efficacement de ses missions au titre du présent règlement. Le superviseur principal devrait donc également être en mesure d’exercer ses pouvoirs de supervision dans les pays tiers. L’exercice de ces pouvoirs dans les pays tiers devrait permettre au superviseur principal d’examiner les installations à partir desquelles les services TIC ou d’appui technique sont effectivement fournis ou gérés par le prestataire tiers critique de services TIC et offrir au superviseur principal une compréhension globale et opérationnelle de la gestion du risque lié aux TIC du prestataire tiers critique de services TIC. La possibilité pour le superviseur principal, en tant qu’agence de l’Union, d’exercer ses pouvoirs en dehors du territoire de l’Union devrait être dûment encadrée par des conditions pertinentes, en particulier le consentement du prestataire tiers critique de services TIC concerné. De même, les autorités compétentes du pays tiers devraient être informées de l’exercice des activités du superviseur principal sur leur propre territoire et ne pas s’y être opposées. Toutefois, afin de veiller à une mise en œuvre efficace, et sans préjudice des compétences respectives des institutions de l’Union et des États membres, ces pouvoirs doivent également être pleinement ancrés dans les accords de coopération administrative conclus avec les autorités compétentes du pays tiers concerné. Le présent règlement devrait donc permettre aux AES de conclure des accords de coopération administrative avec les autorités compétentes de pays tiers, qui ne devraient par ailleurs pas créer d’obligations juridiques à l’égard de l’Union et de ses États membres.

Spécificité Luxembourg

circulaire CSSF 22/806 du 22 avril 2022 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF agit comme autorité competente nationale au sens de l'article 46 DORA et participe aux missions du superviseur principal pour les prestataires TIC critiques utilises par les entités financieres luxembourgeoises (banques, PSF, gestionnaires AIFM, EMI, fintechs CSSF). La circulaire CSSF 22/806 sur l'externalisation, lue en combinaison avec DORA, exige deja la documentation précisé des localisations effectives de traitement et l'accès des superviseurs aux installations, y compris hors UE.

Pratique Luxgap : lors de chaque revue annuelle d'externalisation CSSF, nous croisons l'inventaire 22/806 avec la liste des accords de cooperation AES publies pour identifier les prestataires TIC critiques dont la juridiction d'hébergement effective n'est pas couverte par un accord, et nous declenchons un avenant DORA avant le prochain reporting CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 83 eclaire l'article 41 du DORA : le superviseur principal (ESA désigné) peut inspecter physiquement les datacenters et installations de votre prestataire TIC critique en dehors de l'UE, sous réservé du consentement du prestataire et de la non-opposition de l'autorité locale. En pratique, les entités financieres luxembourgeoises sanctionnées par la CSSF ne sont pas celles qui hébergent hors UE, mais celles qui ont signe des contrats cloud sans clause de cooperation a la supervision DORA permettant ces inspections extraterritoriales. Le piège : decouvrir lors d'une mission de supervision que votre AWS Singapour ou Azure US refuse l'accès aux superviseurs, ce qui déclenche immediatement une obligation de sortie au titre de l'article 28(8).

Ce que le considérant 83 impose concretement dans vos contrats

Clause de consentement préalable irrevocable du prestataire TIC a toute mission de supervision sur site, y compris hors UE.
Cartographie précisé des localisations physiques effectives de fourniture du service, distinguant le siège contractuel, l'entité de facturation et les datacenters opérationnels.
Engagement du prestataire de ne pas opposer le droit local pour faire obstacle aux pouvoirs du superviseur principal.
Identification des pays tiers ou un accord de cooperation administrative AES manque, afin d'évaluer le risque de blocage juridictionnel.
Plan de sortie active si une mission de supervision est entravee dans un pays tiers donne.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Reach Mapper rend impossible la mauvaise surprise du superviseur bloque a la frontière : l'outil scanne en continu vos contrats TIC critiques et géolocalisé les installations reelles de fourniture du service, en croisant les déclarations contractuelles avec les données techniques observees (resolutions DNS, IP routing AWS/Azure/GCP, certificats TLS, logs CDN). Un agent LLM spécialisé lit chaque DPA et SLA importe depuis Odoo Contracts, SharePoint ou DocuSign, extrait les clauses de juridiction et de consentement a la supervision, puis calcule un score d'atteignabilite par le superviseur principal pour chaque pays tiers concerne.

Detecte automatiquement les datacenters effectifs de chaque prestataire TIC critique en croisant Azure Resource Graph, AWS Config et les logs M365 Tenant Geography.
Classifie chaque pays tiers selon l'existence d'un accord de cooperation administrative AES publie, et alerte sur les juridictions a risque (consentement local incertain).
Genere les avenants contractuels prets a signer integrant la clause de consentement irrevocable DORA article 30(3) et l'engagement de non-opposition.
Alerte en temps reel via Teams ou Slack des qu'un prestataire deplace une charge vers une juridiction non couverte par un accord AES.
Produit un rapport PDF horodate opposable a la CSSF lors d'une inspection, demontrant la maîtrise de la portee territoriale de supervision pour chaque prestataire TIC critique.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre portefeuille de prestataires TIC reels, avec un audit blanc gratuit sous 48h pour cartographier les juridictions non couvertes avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 83

Ils nous font confiance

Avant de discuter