Je dois mettre mon organisation luxembourgeoise en conformité au considérant 88 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 88 eclaire l'architecture de supervision DORA : un superviseur principal unique (EBA, ESMA ou EIOPA selon le cas) pilote les inspections des prestataires tiers critiques TIC, evitant la cacophonie d'audits separes. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF n'est pas de subir l'inspection, c'est de ne pas savoir quels de leurs prestataires seront désignés critiques par les AES, ni quelles informations seront exigees lors d'une inspection sur site ou hors site. Quand l'EBA arrive chez votre hebergeur cloud, vos clauses contractuelles et votre registre d'information article 28 DORA doivent être alignes au mot près avec ce que le prestataire declare au superviseur principal.Ce que ce considérant change concretement pour vousVos prestataires tiers critiques TIC (cloud, SaaS coeur de metier, infogerance) seront audites par un superviseur principal européen, pas seulement par la CSSF.Le superviseur principal peut exiger toute information complète et actualisee : architecture, sous-traitance en cascade, localisation des données, plans de continuite, incidents passes.Vos contrats doivent garantir les droits d'accès, d'audit et d'inspection sur site au superviseur principal et a ses équipes d'inspection conjointes (JET).Une discordance entre ce que vous declarez a la CSSF dans votre registre d'information et ce que le prestataire declare aux AES vous exposé a une remédiation forcee, voire a une obligation de sortie du prestataire.L'approche collective UE signifié que les recommandations du superviseur principal s'imposent indirectement a vous via la CSSF, qui peut exiger que vous ne contractiez plus avec un prestataire jugé defaillant.Comment Luxgap automatise ce risqueNotre Luxgap Oversight Mirror synchronise en continu votre registre d'information DORA article 28 avec les designations et publications du superviseur principal des AES, pour qu'aucun de vos prestataires critiques TIC ne devienne une zone d'ombre entre ce que vous declarez a la CSSF et ce que l'EBA, ESMA ou EIOPA inspecte de leur cote. L'outil agrege en temps reel les listes officielles de prestataires tiers critiques désignés, les décisions des JET et les recommandations publiees, et les croise avec vos contrats Odoo, SAP Ariba, eBRC et vos flux de paiement pour materialiser votre exposition reelle.Detecte automatiquement chaque prestataire de votre SI eligible au statut de critique selon les critères du règlement délégué (importance systemique, substituabilite, interconnexion).Synchronise quotidiennement votre registre d'information DORA avec le format ITS publie par les AES, pret a être transmis a la CSSF dans le délai requis.Compare clause par clause vos contrats existants avec les exigences article 30 DORA et le considérant 88 sur les droits d'inspection, et signale les ecarts a renegocier.Simule une inspection sur site du superviseur principal sur un prestataire donne et produit la liste des documents exigibles qu...

Considérant 88 DORA — Considérant 88

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 88

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(88)

Les superviseurs principaux devraient se voir confier les pouvoirs nécessaires pour mener des enquêtes, réaliser des inspections sur place et hors site des locaux et sites des prestataires tiers critiques de services TIC et obtenir des informations complètes et actualisées. Ces pouvoirs devraient permettre au superviseur principal de se faire une idée précise du type, de la dimension et des incidences du risque que les prestataires tiers de services TIC représentent pour les entités financières et, en définitive, pour le système financier de l’Union. Il est indispensable d’accorder aux AES le rôle de superviseur principal afin de cerner et de prendre en compte la dimension systémique du risque lié aux TIC dans le secteur financier. L’incidence des prestataires tiers critiques de services TIC sur le secteur financier de l’Union et les problèmes éventuels causés par le risque de concentration informatique qui en découlent nécessitent l’adoption d’une approche collective au niveau de l’Union. La réalisation simultanée d’une multiplicité d’audits et de droits d’accès, exercés séparément par de nombreuses autorités compétentes avec une coordination limitée, voire inexistante, empêcherait les autorités de surveillance financière de disposer d’une vue d’ensemble complète et exhaustive du risque lié aux prestataires tiers de services TIC dans l’Union, tandis qu’elle engendrerait également une redondance, des charges et une complexité pour les prestataires tiers critiques de services TIC s’ils étaient confrontés à de nombreuses demandes de surveillance et d’inspection.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 relative aux contrats sur les services financiers, circulaires CSSF 22/806 et 24/856

Au Luxembourg, la CSSF reste l'autorité competente nationale pour la supervision DORA des entités financieres établies sur le territoire, mais elle agit en coordination etroite avec le superviseur principal désigné par les AES pour les prestataires tiers critiques TIC. La loi du 1er juin 2023 relative aux contrats sur les services financiers et les circulaires CSSF 22/806 (sous-traitance) et 24/856 (DORA) precisent que les entités supervisees doivent intégrer dans leurs contrats les droits d'inspection elargis au superviseur principal européen, et notifier la CSSF de toute inspection annoncee sur un prestataire critique.

Pratique Luxgap : alignez votre registre d'information DORA sur le format CSSF eDesk avant la premiere transmission obligatoire et conservez la preuve de transmission horodatee, car la CSSF peut croiser vos déclarations avec les retours du superviseur principal.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 88 eclaire l'architecture de supervision DORA : un superviseur principal unique (EBA, ESMA ou EIOPA selon le cas) pilote les inspections des prestataires tiers critiques TIC, evitant la cacophonie d'audits separes. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF n'est pas de subir l'inspection, c'est de ne pas savoir quels de leurs prestataires seront désignés critiques par les AES, ni quelles informations seront exigees lors d'une inspection sur site ou hors site. Quand l'EBA arrive chez votre hebergeur cloud, vos clauses contractuelles et votre registre d'information article 28 DORA doivent être alignes au mot près avec ce que le prestataire declare au superviseur principal.

Ce que ce considérant change concretement pour vous

Vos prestataires tiers critiques TIC (cloud, SaaS coeur de metier, infogerance) seront audites par un superviseur principal européen, pas seulement par la CSSF.
Le superviseur principal peut exiger toute information complète et actualisee : architecture, sous-traitance en cascade, localisation des données, plans de continuite, incidents passes.
Vos contrats doivent garantir les droits d'accès, d'audit et d'inspection sur site au superviseur principal et a ses équipes d'inspection conjointes (JET).
Une discordance entre ce que vous declarez a la CSSF dans votre registre d'information et ce que le prestataire declare aux AES vous exposé a une remédiation forcee, voire a une obligation de sortie du prestataire.
L'approche collective UE signifié que les recommandations du superviseur principal s'imposent indirectement a vous via la CSSF, qui peut exiger que vous ne contractiez plus avec un prestataire jugé defaillant.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Mirror synchronise en continu votre registre d'information DORA article 28 avec les designations et publications du superviseur principal des AES, pour qu'aucun de vos prestataires critiques TIC ne devienne une zone d'ombre entre ce que vous declarez a la CSSF et ce que l'EBA, ESMA ou EIOPA inspecte de leur cote. L'outil agrege en temps reel les listes officielles de prestataires tiers critiques désignés, les décisions des JET et les recommandations publiees, et les croise avec vos contrats Odoo, SAP Ariba, eBRC et vos flux de paiement pour materialiser votre exposition reelle.

Detecte automatiquement chaque prestataire de votre SI eligible au statut de critique selon les critères du règlement délégué (importance systemique, substituabilite, interconnexion).
Synchronise quotidiennement votre registre d'information DORA avec le format ITS publie par les AES, pret a être transmis a la CSSF dans le délai requis.
Compare clause par clause vos contrats existants avec les exigences article 30 DORA et le considérant 88 sur les droits d'inspection, et signale les ecarts a renegocier.
Simule une inspection sur site du superviseur principal sur un prestataire donne et produit la liste des documents exigibles que vous devez pouvoir fournir sous 48h.
Alerte par Teams ou email des qu'un de vos prestataires fait l'objet d'une recommandation publique du superviseur principal, avec le plan de remédiation suggere.
Genere un rapport PDF horodate opposable a la CSSF demontrant votre vigilance active sur la chaîne de supervision européenne.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre d'information DORA reel, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre vos contrats actuels et les attendus du superviseur principal.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 88

Ils nous font confiance

Avant de discuter