Je dois mettre mon organisation luxembourgeoise en conformité au considérant 85 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 85 DORA — Considérant 85

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 85

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(85)

Le cadre de supervision devrait être sans préjudice de la compétence des États membres à mener leurs propres missions de supervision ou de surveillance des prestataires tiers de services TIC qui ne sont pas désignés comme critiques au titre du présent règlement, mais qui sont jugés importants au niveau national.

Spécificité Luxembourg

circulaire CSSF 22/806 du 22 avril 2022 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF exerce la supervision nationale des prestataires TIC importants via la circulaire CSSF 22/806 sur les arrangements d'externalisation (incluant le cloud), qui co-existe avec DORA et impose notifications préalables, registres d'externalisation et revue contractuelle, même pour les prestataires non désignés critiques au niveau ESAs.

Pratique Luxgap : maintenir un registre unifié qui satisfait simultanement DORA article 28(3) et CSSF 22/806, avec mapping automatise des champs entre les deux référentiels pour eviter le double travail déclaratif.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'entités financieres luxembourgeoises pensent qu'échapper a la qualification de prestataire TIC critique au sens DORA (désignation ESAs) suffit a evacuer toute supervision. Faux. Le considérant 85 préservé explicitement la competence des états membres pour superviser les prestataires jugés importants au niveau national. La CSSF conserve donc son pouvoir d'inspection sur les sous-traitants TIC qu'elle considéré significatifs pour la place financiere luxembourgeoise, même hors liste ESAs.

La double couche de supervision a anticiper

Couche européenne : prestataires TIC critiques désignés par les ESAs (Lead Overseer EBA, ESMA ou EIOPA selon le cas).
Couche nationale : prestataires TIC importants pour la place luxembourgeoise, supervises directement par la CSSF via la circulaire CSSF 22/806 sur les arrangements d'externalisation.
Pour chaque sous-traitant TIC, vous devez documenter sa criticite a deux niveaux : criticite DORA (article 31) et importance nationale CSSF.
Un prestataire non désigné critique au niveau UE peut quand même déclencher une notification CSSF et une revue d'arrangement d'externalisation au Luxembourg.
La cartographie doit être coherente avec le registre d'information article 28(3) DORA, communiqué annuellement a la CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap Dual-Tier Oversight Mapper elimine l'angle mort entre la supervision européenne ESAs et la supervision nationale CSSF en classifiant chaque prestataire TIC sur les deux axes simultanement, en temps reel, sans intervention manuelle. L'outil agrege votre registre d'information DORA, vos contrats d'externalisation Odoo ou SAP Ariba, vos flux Azure et AWS, et croise ces données avec la liste publique des prestataires TIC critiques publiee par les ESAs ainsi qu'avec la grille CSSF 22/806.

Detecte automatiquement chaque prestataire TIC actif via vos integrations financieres et techniques (Sage BOB 50, Cegid, M365, Azure, AWS, eBRC, LuxConnect).
Classifie chaque relation selon deux axes : criticite DORA (article 31) et importance nationale CSSF (circulaire 22/806).
Alerte en temps reel lorsqu'un prestataire bascule au-dessus d'un seuil de concentration ou lorsqu'un nouveau sous-sous-traitant apparait dans la chaîne.
Genere le registre d'information article 28(3) au format technique ESAs prerempli, exportable directement vers la CSSF.
Produit un rapport PDF horodate scelle cryptographiquement, opposable lors d'une inspection CSSF ou d'une mission d'oversight ESAs.
Predit la probabilité de désignation comme critique en simulant les critères quantitatifs ESAs sur 12 mois glissants.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regulatoire. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre portefeuille de prestataires TIC reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition de supervision avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 85

Ils nous font confiance

Avant de discuter