Je dois mettre mon organisation luxembourgeoise en conformité au considérant 89 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 89 éclaire un point souvent mal compris des entités financières luxembourgeoises : la désignation d'un prestataire tiers critique de services TIC (CTPP) par les ESAs n'est pas un acte unilatéral, mais une procédure contradictoire avec droits de la défense. En pratique, beaucoup d'entités financières supervisées par la CSSF découvrent trop tard que leur hyperscaler ou leur prestataire de core banking conteste activement les recommandations du Lead Overseer, et que cette contestation ouvre une fenêtre d'incertitude opérationnelle de plusieurs mois sur les arrangements contractuels existants.Comment ce considérant influence concrètement la mise en œuvreIl borne les articles 31 à 44 du DORA : le Lead Overseer (ESA chef de file) doit accorder un droit d'être entendu avant désignation, et un droit d'explication avant recommandation.Il introduit un risque opérationnel pour l'entité financière cliente : si le CTPP refuse une recommandation et publie une déclaration motivée, ou si le Lead Overseer publie une notice publique de non-conformité, l'entité financière doit réévaluer immédiatement sa stratégie de sortie (article 28(8)).Il impose de surveiller en continu les publications des ESAs (registre des CTPP désignés, notices publiques de non-conformité, désaccords formalisés).Il oblige à anticiper l'impact sur les clients hors périmètre DORA (filiales non régulées, joint-ventures, clients corporate) qui partagent la même infrastructure TIC critique.Pour la CSSF, autorité compétente luxembourgeoise au sens de l'article 46, cela signifié qu'elle attendra de l'entité financière une preuve documentée de la veille sur le statut de chaque prestataire critique.Comment Luxgap automatise ce risqueNotre Luxgap Critical Provider Radar transforme la veille passive sur les désignations CTPP en système d'alerte temps réel opposable à la CSSF. L'outil ingère en continu le registre public des prestataires tiers critiques publié par les ESAs, les notices de non-conformité du Lead Overseer, les déclarations motivées de désaccord, et croise ces flux avec votre registre d'information DORA article 28(3), Azure Resource Graph, AWS Organizations et votre référentiel contrats Odoo ou SAP Ariba pour matérialiser instantanément l'exposition réelle de votre entité.Détecte sous 24 heures toute nouvelle désignation CTPP touchant un prestataire présent dans votre registre d'information DORA, avec notification Teams ou email au CISO et au DPO.Calcule un score d'exposition par entité juridique du groupe, pondéré par criticité de la fonction TIC supportée (CORE, IMPORTANT, ACCESSORY selon votre classification article 8).Génère automatiquement un dossier de réévaluation de la stratégie de sortie article 28(8) dès qu'une notice publique de non-conformité est émise par le Lead Overseer.Suit les déclarations motivées de désaccord publiées par les CTPP et alerte sur les recommandations contractuelles non suivies qui touchent vos arrangements en cours.Produi...

Considérant 89 DORA — Considérant 89

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 89

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(89)

En raison de l’incidence considérable de la désignation comme prestataire tiers critique, le présent règlement devrait veiller au respect des droits des prestataires tiers critiques de services TIC tout au long de la mise en œuvre du cadre de supervision. Avant d’être désignés comme critiques, ces prestataires devraient, par exemple, avoir le droit de présenter au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation relative à leur désignation. Étant donné que le superviseur principal devrait être habilité à soumettre des recommandations sur le risque lié aux TIC et les mesures correctives appropriées, qui incluent le pouvoir de s’opposer à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier, les prestataires tiers critiques de services TIC devraient également avoir la possibilité, avant la finalisation de ces recommandations, de fournir des explications en ce qui concerne l’incidence attendue des solutions, envisagées dans les recommandations, sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et de formuler des solutions pour atténuer les risques. Les prestataires tiers critiques de services TIC qui ne sont pas d’accord avec les recommandations devraient présenter une déclaration motivée de leur intention de ne pas suivre la recommandation. Lorsque cette déclaration motivée fait défaut ou est jugée insuffisante, le superviseur principal devrait émettre une communication au public dans laquelle il décrit brièvement la non-conformité.

Spécificité Luxembourg

circulaire CSSF 22/806 du 22 avril 2022 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF est l'autorité compétente DORA au sens de l'article 46 pour la quasi-totalité du secteur financier (banques, PSF, EMI, OPCVM, AIFM, fintech régulées), tandis que le CAA reste compétent pour les entreprises d'assurance et de réassurance. La circulaire CSSF 22/806 relative à l'externalisation, lue conjointement avec DORA, impose une notification préalable à la CSSF pour toute externalisation critique ou importante, ce qui inclut désormais l'obligation de signaler immédiatement toute désignation CTPP ou notice publique de non-conformité touchant un prestataire déjà notifié.

Pratique Luxgap : nous configurons le Critical Provider Radar pour générer automatiquement la notification CSSF article 35 circulaire 22/806 dès qu'un de vos prestataires externalisés est désigné CTPP par les ESAs, afin de tenir le délai de communication prudentielle attendu par la CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 89 éclaire un point souvent mal compris des entités financières luxembourgeoises : la désignation d'un prestataire tiers critique de services TIC (CTPP) par les ESAs n'est pas un acte unilatéral, mais une procédure contradictoire avec droits de la défense. En pratique, beaucoup d'entités financières supervisées par la CSSF découvrent trop tard que leur hyperscaler ou leur prestataire de core banking conteste activement les recommandations du Lead Overseer, et que cette contestation ouvre une fenêtre d'incertitude opérationnelle de plusieurs mois sur les arrangements contractuels existants.

Comment ce considérant influence concrètement la mise en œuvre

Il borne les articles 31 à 44 du DORA : le Lead Overseer (ESA chef de file) doit accorder un droit d'être entendu avant désignation, et un droit d'explication avant recommandation.
Il introduit un risque opérationnel pour l'entité financière cliente : si le CTPP refuse une recommandation et publie une déclaration motivée, ou si le Lead Overseer publie une notice publique de non-conformité, l'entité financière doit réévaluer immédiatement sa stratégie de sortie (article 28(8)).
Il impose de surveiller en continu les publications des ESAs (registre des CTPP désignés, notices publiques de non-conformité, désaccords formalisés).
Il oblige à anticiper l'impact sur les clients hors périmètre DORA (filiales non régulées, joint-ventures, clients corporate) qui partagent la même infrastructure TIC critique.
Pour la CSSF, autorité compétente luxembourgeoise au sens de l'article 46, cela signifié qu'elle attendra de l'entité financière une preuve documentée de la veille sur le statut de chaque prestataire critique.

Comment Luxgap automatise ce risque

Notre Luxgap Critical Provider Radar transforme la veille passive sur les désignations CTPP en système d'alerte temps réel opposable à la CSSF. L'outil ingère en continu le registre public des prestataires tiers critiques publié par les ESAs, les notices de non-conformité du Lead Overseer, les déclarations motivées de désaccord, et croise ces flux avec votre registre d'information DORA article 28(3), Azure Resource Graph, AWS Organizations et votre référentiel contrats Odoo ou SAP Ariba pour matérialiser instantanément l'exposition réelle de votre entité.

Détecte sous 24 heures toute nouvelle désignation CTPP touchant un prestataire présent dans votre registre d'information DORA, avec notification Teams ou email au CISO et au DPO.
Calcule un score d'exposition par entité juridique du groupe, pondéré par criticité de la fonction TIC supportée (CORE, IMPORTANT, ACCESSORY selon votre classification article 8).
Génère automatiquement un dossier de réévaluation de la stratégie de sortie article 28(8) dès qu'une notice publique de non-conformité est émise par le Lead Overseer.
Suit les déclarations motivées de désaccord publiées par les CTPP et alerte sur les recommandations contractuelles non suivies qui touchent vos arrangements en cours.
Produit un rapport PDF horodaté et cryptographiquement scellé, opposable à la CSSF lors d'une revue prudentielle, qui démontre la veille continue exigée par l'article 28(2).
Pré-rédige la communication interne au comité de direction et la note d'information au conseil d'administration prévues par la circulaire CSSF 22/806.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre registre d'information DORA réel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux prestataires tiers critiques avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 89

Ils nous font confiance

Avant de discuter