Je dois mettre mon organisation luxembourgeoise en conformité au considérant 90 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 90 cree une articulation redoutable : les recommandations du superviseur principal (l'une des ESAs désignée pour superviser un prestataire tiers TIC critique) ne sont pas de simples avis, elles deviennent un objet de contrôle prudentiel pour la CSSF. Concretement, si votre banque, fintech, gestionnaire AIFM ou entreprise d'assurance utilise un prestataire cloud désigné critique au sens DORA, la CSSF verifiera lors de ses inspections que vous avez materiellement tenu compte des recommandations adressees a ce prestataire, et pourra exiger des mesures supplémentaires de votre part, même si le prestataire, lui, n'a pas bouge.Ce que ce considérant change pour la mise en œuvreLes recommandations du superviseur principal ne sont pas opposables directement au prestataire critique, mais leur non-prise en compte par l'entité financiere devient un grief prudentiel CSSF.L'entité financiere doit tracer comment elle a intégré chaque recommandation : revue contractuelle, plan de sortie renforce, contrôle compensatoire, escalade au comite des risques.Le délai d'action est fixe par notification de la CSSF, pas par DORA. Anticiper plutot que reagir au courrier.Pour les prestataires couverts a la fois par DORA et NIS 2 (directive UE 2022/2555), une coordination volontaire existe entre CSSF et ILR. Cela n'enleve rien a votre obligation d'agir en propre.L'argument j'ai exige du fournisseur, il a refuse ne suffit pas : DORA attend la mise en place de contrôles compensatoires ou l'activation de la stratégie de sortie.Comment Luxgap automatise ce risqueNotre Luxgap Lead Overseer Tracker transforme le flux de recommandations publiees par les ESAs sur les prestataires TIC critiques en feuille de route opposable a la CSSF, automatiquement projetee sur votre cartographie de fournisseurs reels. L'outil moissonne en continu les publications EBA, ESMA, EIOPA et le registre des prestataires critiques désignés, croise avec votre registre d'information DORA et votre contrats Odoo/SAP Ariba, puis identifié chaque recommandation qui touche un fournisseur que vous utilisez vraiment, en moins de 24 heures après publication.Detecte chaque nouvelle recommandation du superviseur principal et la projette automatiquement sur la liste de vos prestataires TIC actifs, sans saisie manuelle.Genere un plan d'action pre-rempli par recommandation : revue contractuelle, contrôle compensatoire, déclenchement partiel de la stratégie de sortie, escalade comite des risques.Trace l'exécution de chaque mesure avec horodatage et preuve documentaire, opposable lors d'une inspection CSSF au titre de l'article 28 DORA.Alerte le RSSI et le DPO Teams ou Slack des qu'une recommandation touche un fournisseur classe critique dans votre registre.Identifié les prestataires couverts aussi par NIS 2 et prepare un dossier de coordination CSSF-ILR pret a deposer.Produit un rapport trimestriel scelle cryptographiquement, demontrant le respect matériel exige par le considérant 90.Disp...

Considérant 90 DORA — Considérant 90

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 90

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(90)

Les autorités compétentes devraient dûment inclure la tâche consistant à vérifier le respect matériel des recommandations formulées par le superviseur principal dans le cadre de leurs fonctions en ce qui concerne la surveillance prudentielle des entités financières. Les autorités compétentes devraient pouvoir exiger des entités financières qu’elles prennent des mesures supplémentaires pour faire face aux risques recensés dans les recommandations du superviseur principal et devraient, en temps utile, émettre des notifications à cet effet. Lorsque le superviseur principal adresse des recommandations à des prestataires tiers critiques de services TIC qui font l’objet d’une surveillance au titre de la directive (UE) 2022/2555, les autorités compétentes devraient pouvoir, à titre volontaire et avant d’adopter des mesures supplémentaires, consulter les autorités compétentes en vertu de ladite directive afin de favoriser une approche coordonnée concernant les prestataires tiers critiques de services TIC en question.

Spécificité Luxembourg

loi du 1er aout 2024 portant transposition de la directive (UE) 2022/2555 (NIS 2) et loi du 5 avril 1993 relative au secteur financier (cadre CSSF DORA)

Au Luxembourg, la CSSF est l'autorité competente DORA pour la quasi-totalite du secteur financier (banques, PSF, fintechs, AIFM, OPCVM, entreprises d'investissement), tandis que le CAA couvre les entreprises d'assurance et de reassurance. Pour les prestataires TIC critiques egalement couverts par NIS 2, c'est l'ILR qui est l'autorité competente cote NIS 2 luxembourgeois, et la coordination volontaire prévue au considérant 90 se materialise concretement par un échange CSSF-ILR ou CAA-ILR.

Pratique Luxgap : tracez dans votre registre d'information DORA, pour chaque prestataire critique, sa qualification eventuelle d'entité essentielle ou importante NIS 2 au Luxembourg, afin d'anticiper la double sollicitation CSSF et ILR en cas de recommandation du superviseur principal.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 90 cree une articulation redoutable : les recommandations du superviseur principal (l'une des ESAs désignée pour superviser un prestataire tiers TIC critique) ne sont pas de simples avis, elles deviennent un objet de contrôle prudentiel pour la CSSF. Concretement, si votre banque, fintech, gestionnaire AIFM ou entreprise d'assurance utilise un prestataire cloud désigné critique au sens DORA, la CSSF verifiera lors de ses inspections que vous avez materiellement tenu compte des recommandations adressees a ce prestataire, et pourra exiger des mesures supplémentaires de votre part, même si le prestataire, lui, n'a pas bouge.

Ce que ce considérant change pour la mise en œuvre

Les recommandations du superviseur principal ne sont pas opposables directement au prestataire critique, mais leur non-prise en compte par l'entité financiere devient un grief prudentiel CSSF.
L'entité financiere doit tracer comment elle a intégré chaque recommandation : revue contractuelle, plan de sortie renforce, contrôle compensatoire, escalade au comite des risques.
Le délai d'action est fixe par notification de la CSSF, pas par DORA. Anticiper plutot que reagir au courrier.
Pour les prestataires couverts a la fois par DORA et NIS 2 (directive UE 2022/2555), une coordination volontaire existe entre CSSF et ILR. Cela n'enleve rien a votre obligation d'agir en propre.
L'argument j'ai exige du fournisseur, il a refuse ne suffit pas : DORA attend la mise en place de contrôles compensatoires ou l'activation de la stratégie de sortie.

Comment Luxgap automatise ce risque

Notre Luxgap Lead Overseer Tracker transforme le flux de recommandations publiees par les ESAs sur les prestataires TIC critiques en feuille de route opposable a la CSSF, automatiquement projetee sur votre cartographie de fournisseurs reels. L'outil moissonne en continu les publications EBA, ESMA, EIOPA et le registre des prestataires critiques désignés, croise avec votre registre d'information DORA et votre contrats Odoo/SAP Ariba, puis identifié chaque recommandation qui touche un fournisseur que vous utilisez vraiment, en moins de 24 heures après publication.

Detecte chaque nouvelle recommandation du superviseur principal et la projette automatiquement sur la liste de vos prestataires TIC actifs, sans saisie manuelle.
Genere un plan d'action pre-rempli par recommandation : revue contractuelle, contrôle compensatoire, déclenchement partiel de la stratégie de sortie, escalade comite des risques.
Trace l'exécution de chaque mesure avec horodatage et preuve documentaire, opposable lors d'une inspection CSSF au titre de l'article 28 DORA.
Alerte le RSSI et le DPO Teams ou Slack des qu'une recommandation touche un fournisseur classe critique dans votre registre.
Identifié les prestataires couverts aussi par NIS 2 et prepare un dossier de coordination CSSF-ILR pret a deposer.
Produit un rapport trimestriel scelle cryptographiquement, demontrant le respect matériel exige par le considérant 90.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre d'information DORA reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux recommandations en cours avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 90

Ils nous font confiance

Avant de discuter