Je dois mettre mon organisation luxembourgeoise en conformité au considérant 86 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 86 dessine la gouvernance européenne de la supervision des prestataires tiers TIC critiques : comite mixte des AES en chapeau, Oversight Forum en sous-comite préparatoire. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF est de croire que cette mécanique ne les concerne pas. En réalité, les recommandations collectives publiees par ce forum (benchmarking, bonnes pratiques contre la concentration TIC) deviennent rapidement le standard d'audit applique par la CSSF lors de ses contrôles, et l'absence d'alignement sur ces publications est sanctionnée comme une defaillance de gouvernance article 5 DORA.Ce que le considérant 86 change concretement pour vousLes décisions individuelles ESAs visant un prestataire critique (AWS, Microsoft Azure, Google Cloud, Broadridge, SimCorp) se repercutent immediatement sur vos contrats et vos plans d'exit.Les recommandations collectives sur le risque de concentration deviennent opposables : si 80% du secteur luxembourgeois est sur le même hyperscaler, vous devez le documenter et le challenger.Le benchmarking des programmes de supervision cree une grille de lecture homogene : la CSSF appliquera les mêmes critères qu'une autre autorité competente nationale lors d'inspections croisees.L'identification des bonnes pratiques publiees par le forum constitue un de facto standard : vous devez prouver que votre dispositif les intégré, ou justifier pourquoi vous vous en ecartez.Comment Luxgap automatise ce risqueNotre Luxgap Oversight Radar transforme la veille réglementaire ESAs/CSSF en signaux opérationnels intégrés a votre registre de prestataires TIC. Un agent IA spécialisé surveille en continu les publications du comite mixte des AES, de l'Oversight Forum, de la CSSF et de l'EBA, croise chaque recommandation avec votre registre d'information DORA article 28(3) et vos contrats Odoo / DocuSign / Ironclad, et vous alerte des qu'une nouvelle décision ou recommandation collective touche un de vos prestataires reels.Detecte automatiquement chaque publication des ESAs, du Joint Committee et de la CSSF mentionnant un prestataire TIC critique present dans votre registre DORA.Classifie chaque recommandation collective (benchmarking, concentration, bonnes pratiques) et la traduit en actions concretes pretes a intégrer dans vos plans de remédiation.Calcule un score de concentration TIC sectoriel en croisant vos prestataires avec les données publiques du secteur financier luxembourgeois, et alerte si vous depassez la moyenne sectorielle.Genere un dossier de conformité horodate, prerempli avec les références aux publications de l'Oversight Forum, opposable lors d'une inspection CSSF.Produit un rapport trimestriel de positionnement benchmarking qui démontré l'alignement de votre dispositif sur les bonnes pratiques publiees au niveau européen.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos...

Considérant 86 DORA — Considérant 86

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 86

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(86)

Afin de tirer parti de l’architecture institutionnelle à plusieurs niveaux dans le domaine des services financiers, le comité mixte des AES devrait continuer à assurer la coordination intersectorielle globale pour toutes les questions relatives au risque lié aux TIC, conformément aux tâches qui lui incombent en matière de cybersécurité. Il devrait être soutenu par un nouveau sous-comité (ci-après dénommé «forum de supervision») chargé de préparer aussi bien les décisions individuelles à l’adresse des prestataires tiers critiques de services TIC que la publication des recommandations collectives, en particulier en ce qui concerne l’analyse comparative des programmes de supervision des prestataires tiers critiques de services TIC et l’identification des bonnes pratiques pour parer aux risques de concentration informatique.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente désignée au titre de DORA pour la quasi-totalite des entités financieres (établissements de crédit, PSF, gestionnaires AIFM, OPCVM, établissements de paiement, EMI), tandis que le CAA supervise les entreprises d'assurance et de reassurance. La loi du 1er aout 2024 portant mise en œuvre du règlement DORA désigné ces autorités et leur confere les pouvoirs de sanction prévus a l'article 50 DORA, applicables aux defaillances de gouvernance liées au suivi des recommandations du Joint Committee et de l'Oversight Forum.

Pratique Luxgap : verifiez que votre dispositif de veille réglementaire intégré explicitement les circulaires CSSF (notamment 22/806 sur les arrangements d'externalisation) et les publications du CAA, en plus des publications ESAs, car la CSSF refere systématiquement a ses propres circulaires lorsqu'elle decline une recommandation européenne.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 86 dessine la gouvernance européenne de la supervision des prestataires tiers TIC critiques : comite mixte des AES en chapeau, Oversight Forum en sous-comite préparatoire. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF est de croire que cette mécanique ne les concerne pas. En réalité, les recommandations collectives publiees par ce forum (benchmarking, bonnes pratiques contre la concentration TIC) deviennent rapidement le standard d'audit applique par la CSSF lors de ses contrôles, et l'absence d'alignement sur ces publications est sanctionnée comme une defaillance de gouvernance article 5 DORA.

Ce que le considérant 86 change concretement pour vous

Les décisions individuelles ESAs visant un prestataire critique (AWS, Microsoft Azure, Google Cloud, Broadridge, SimCorp) se repercutent immediatement sur vos contrats et vos plans d'exit.
Les recommandations collectives sur le risque de concentration deviennent opposables : si 80% du secteur luxembourgeois est sur le même hyperscaler, vous devez le documenter et le challenger.
Le benchmarking des programmes de supervision cree une grille de lecture homogene : la CSSF appliquera les mêmes critères qu'une autre autorité competente nationale lors d'inspections croisees.
L'identification des bonnes pratiques publiees par le forum constitue un de facto standard : vous devez prouver que votre dispositif les intégré, ou justifier pourquoi vous vous en ecartez.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Radar transforme la veille réglementaire ESAs/CSSF en signaux opérationnels intégrés a votre registre de prestataires TIC. Un agent IA spécialisé surveille en continu les publications du comite mixte des AES, de l'Oversight Forum, de la CSSF et de l'EBA, croise chaque recommandation avec votre registre d'information DORA article 28(3) et vos contrats Odoo / DocuSign / Ironclad, et vous alerte des qu'une nouvelle décision ou recommandation collective touche un de vos prestataires reels.

Detecte automatiquement chaque publication des ESAs, du Joint Committee et de la CSSF mentionnant un prestataire TIC critique present dans votre registre DORA.
Classifie chaque recommandation collective (benchmarking, concentration, bonnes pratiques) et la traduit en actions concretes pretes a intégrer dans vos plans de remédiation.
Calcule un score de concentration TIC sectoriel en croisant vos prestataires avec les données publiques du secteur financier luxembourgeois, et alerte si vous depassez la moyenne sectorielle.
Genere un dossier de conformité horodate, prerempli avec les références aux publications de l'Oversight Forum, opposable lors d'une inspection CSSF.
Produit un rapport trimestriel de positionnement benchmarking qui démontré l'alignement de votre dispositif sur les bonnes pratiques publiees au niveau européen.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre DORA reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux recommandations en cours avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 86

Ils nous font confiance

Avant de discuter