Je dois mettre mon organisation luxembourgeoise en conformité au considérant 84 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 84 paraît anodin mais il cache un piège opérationnel majeur pour les groupes technologiques fournissant des services TIC critiques au secteur financier européen. Lorsque les ESAs (via le superviseur principal désigné) ouvrent une procédure de supervision, l'absence d'un point de coordination unique désigné formellement entraine des demandes d'information dispersees, des réponses contradictoires entre filiales, et au final une perception de non-cooperation qui durcit le ton du superviseur. La CSSF, en tant qu'autorité competente luxembourgeoise relayant les décisions du superviseur principal, sanctionné particulièrement les groupes qui se retranchent derrière leur structure juridique eclatee pour retarder les réponses.Ce que ce considérant impose concretement aux groupes TIC critiquesMême s'il n'est pas normatif, ce considérant eclaire l'interprétation de l'article 31 et suivants. Il impose en pratique :La désignation formelle d'une seule personne morale du groupe comme point de coordination, avec mandat ecrit opposable aux ESAs.Une représentation légale adequate : la personne morale désignée doit avoir la capacite juridique d'engager le groupe sur les engagements pris devant le superviseur principal.Une centralisation des canaux de communication : une seule boite mail sécurisée, un seul interlocuteur senior, une seule chaîne d'escalade documentee.Une coordination interne robuste pour collecter en 48 a 72h les informations demandees par le superviseur principal auprès de chaque entité du groupe (data centers UE et hors UE, sous-traitants de rang 2, contrats clients financiers).Une clause statutaire ou un mandat intra-groupe qui survit aux reorganisations capitalistiques.Pourquoi le Luxembourg est stratégique sur ce pointBeaucoup de groupes cloud et SaaS internationaux ont leur hub européen au Luxembourg (proximite des grands clients financiers UE, écosystème eBRC, LuxConnect, POST). Désigner l'entité luxembourgeoise comme point de coordination DORA est souvent le choix le plus rationnel, mais cela suppose que cette entité ait reellement les ressources compliance et juridiques pour assumer le rôle devant le superviseur principal et la CSSF.Comment Luxgap automatise ce risqueNotre Luxgap Group Oversight Orchestrator transforme la nebuleuse intra-groupe en un point de coordination DORA opposable, capable de répondre au superviseur principal en moins de 72h sur n'importe quelle question relative au groupe. L'outil cartographie automatiquement votre structure juridique via Registre de Commerce LU, Companies House UK, BCE belge et bases equivalentes UE, puis croise avec vos contrats clients financiers (extraits de Salesforce, HubSpot, Odoo) et vos actifs techniques (AWS Organizations, Azure Management Groups, GCP Resource Hierarchy) pour materialiser la chaîne complète de responsabilité.Detecte automatiquement chaque entité du groupe et identifié laquelle est juridiquement la mieux placee comme point de coordination D...

Considérant 84 DORA — Considérant 84

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 84

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(84)	Afin de faciliter la communication avec le superviseur principal et de veiller à une représentation adéquate, les prestataires tiers critiques de services TIC qui font partie d’un groupe devraient désigner une personne morale comme leur point de coordination.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF relaie les décisions du superviseur principal désigné par les ESAs et exerce la supervision indirecte sur les prestataires tiers TIC critiques ayant une entité au Grand-Duche. La loi du 1er juin 2023 portant mise en œuvre du règlement DORA précisé les pouvoirs de la CSSF en matière de cooperation avec le superviseur principal et l'obligation pour les groupes TIC critiques disposant d'une entité luxembourgeoise de notifier formellement leur point de coordination a la CSSF.

Pratique Luxgap : si votre groupe envisage de désigner l'entité luxembourgeoise comme point de coordination DORA, nous preparons en amont le dossier de notification CSSF, le mandat intra-groupe en français et anglais, et nous validons la capacite de représentation effective de l'entité LU avant tout engagement vis-a-vis du superviseur principal.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 84 paraît anodin mais il cache un piège opérationnel majeur pour les groupes technologiques fournissant des services TIC critiques au secteur financier européen. Lorsque les ESAs (via le superviseur principal désigné) ouvrent une procédure de supervision, l'absence d'un point de coordination unique désigné formellement entraine des demandes d'information dispersees, des réponses contradictoires entre filiales, et au final une perception de non-cooperation qui durcit le ton du superviseur. La CSSF, en tant qu'autorité competente luxembourgeoise relayant les décisions du superviseur principal, sanctionné particulièrement les groupes qui se retranchent derrière leur structure juridique eclatee pour retarder les réponses.

Ce que ce considérant impose concretement aux groupes TIC critiques

Même s'il n'est pas normatif, ce considérant eclaire l'interprétation de l'article 31 et suivants. Il impose en pratique :

La désignation formelle d'une seule personne morale du groupe comme point de coordination, avec mandat ecrit opposable aux ESAs.
Une représentation légale adequate : la personne morale désignée doit avoir la capacite juridique d'engager le groupe sur les engagements pris devant le superviseur principal.
Une centralisation des canaux de communication : une seule boite mail sécurisée, un seul interlocuteur senior, une seule chaîne d'escalade documentee.
Une coordination interne robuste pour collecter en 48 a 72h les informations demandees par le superviseur principal auprès de chaque entité du groupe (data centers UE et hors UE, sous-traitants de rang 2, contrats clients financiers).
Une clause statutaire ou un mandat intra-groupe qui survit aux reorganisations capitalistiques.

Pourquoi le Luxembourg est stratégique sur ce point

Beaucoup de groupes cloud et SaaS internationaux ont leur hub européen au Luxembourg (proximite des grands clients financiers UE, écosystème eBRC, LuxConnect, POST). Désigner l'entité luxembourgeoise comme point de coordination DORA est souvent le choix le plus rationnel, mais cela suppose que cette entité ait reellement les ressources compliance et juridiques pour assumer le rôle devant le superviseur principal et la CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap Group Oversight Orchestrator transforme la nebuleuse intra-groupe en un point de coordination DORA opposable, capable de répondre au superviseur principal en moins de 72h sur n'importe quelle question relative au groupe. L'outil cartographie automatiquement votre structure juridique via Registre de Commerce LU, Companies House UK, BCE belge et bases equivalentes UE, puis croise avec vos contrats clients financiers (extraits de Salesforce, HubSpot, Odoo) et vos actifs techniques (AWS Organizations, Azure Management Groups, GCP Resource Hierarchy) pour materialiser la chaîne complète de responsabilité.

Detecte automatiquement chaque entité du groupe et identifié laquelle est juridiquement la mieux placee comme point de coordination DORA, en fonction de son siège, de sa capacite a representer et de son exposition aux clients financiers UE.
Genere le mandat intra-groupe pret a signer, conforme aux attentes du superviseur principal, avec clauses de survie en cas de cession ou reorganisation.
Centralise les demandes du superviseur principal et de la CSSF dans une boite sécurisée unique, avec routage automatique vers les entités concernees et SLA de réponse de 48h.
Maintient en temps reel un annuaire des interlocuteurs senior (CTO, CISO, DPO, General Counsel) de chaque entité du groupe, avec leur périmètre de mandat.
Produit un dossier de représentation horodate, opposable au superviseur principal, qui démontré la coherence des réponses fournies par le groupe sur les 12 derniers mois.
Alerte instantanement par Teams ou Slack lorsqu'une filiale repond au superviseur sans passer par le point de coordination, evitant les contradictions destructrices.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre groupe. Demandez un devis personnalise et nos équipes preparent une demonstration sur la cartographie reelle de votre groupe, avec un audit blanc gratuit sous 48h pour identifier l'entité optimale a désigner comme point de coordination avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 84

Ils nous font confiance

Avant de discuter