Je dois mettre mon organisation luxembourgeoise en conformité au considérant 91 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 91 eclaire la philosophie de supervision des prestataires tiers TIC critiques : trois principes (coordination ESAs via le Joint Oversight Network, articulation avec NIS 2, et diligence pour ne pas perturber les clients hors scope). Le piège en pratique pour les entités financieres luxembourgeoises supervisees par la CSSF, c'est de croire que la désignation d'un prestataire comme critique par les ESAs vous decharge de la responsabilité : au contraire, elle ajoute une couche d'attention, et la CSSF continue d'attendre que vous demontriez votre propre maîtrise du risque tiers, même lorsque le prestataire est deja sous supervision européenne.Comment ce considérant influence l'interprétation opérationnelleLa coordination ESAs via le JON signifié que vos prestataires critiques (cloud hyperscalers, SWIFT, Bloomberg, etc.) recevront des recommandations harmonisees : vous devez tracer ces recommandations et évaluer leur impact sur vos contrats existants.L'articulation avec NIS 2 visé a eviter qu'un même prestataire soit audite deux fois sur les mêmes points : en pratique, votre cartographie des prestataires doit indiquer le regime applicable (DORA seul, NIS 2 seul, ou les deux) pour anticiper les zones de friction.La diligence envers les clients hors scope (PME industrielles, communes, hôpitaux qui utilisent le même cloud que vous) implique que les mesures de supervision ne doivent pas déclencher une interruption de service generalisee : surveillez les communications de vos prestataires sur les actions correctives demandees par les superviseurs.Pour la CSSF, ce considérant renforce l'idée que la responsabilité ultime reste sur l'entité financiere : la supervision européenne du prestataire ne remplace jamais votre due diligence article 28 RGPD et articles 28-30 DORA.Comment Luxgap automatise ce risqueNotre Luxgap Oversight Radar transforme la supervision européenne des prestataires tiers TIC critiques en signal exploitable pour votre conformité CSSF, au lieu de la laisser dormir dans des PDF du JON que personne ne lit. L'outil agrege en temps reel les publications des trois AES (EBA, ESMA, EIOPA), les décisions du Joint Oversight Network, et les recommandations NIS 2 de l'ENISA, puis les croise avec votre registre d'information DORA pour vous dire exactement quels contrats fournisseurs sont impactes.Surveille en continu les designations de prestataires critiques par les ESAs et alerte des qu'un de vos fournisseurs declare dans votre registre DORA passe sous supervision européenne.Croise automatiquement les recommandations du JON avec vos contrats Odoo, DocuSign ou SharePoint pour identifier les clauses a renegocier dans les 30 jours.Detecte les chevauchements DORA / NIS 2 sur un même prestataire et propose une matrice unifiée d'obligations a presenter en comite des risques.Genere un tableau de bord prospectif des perturbations potentielles : si AWS Frankfurt fait l'objet d'une mesure ESAs, l'outil simule l'impact sur vos...

Considérant 91 DORA — Considérant 91

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 91

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(91)

L’exercice de la supervision devrait être fondé sur trois principes opérationnels visant: a) une coopération étroite entre les AES dans leur rôle de superviseur principal, au moyen d’un réseau de supervision commun, b) la cohérence avec le cadre établi par la directive (UE) 2022/2555 (par une consultation volontaire des organismes relevant de ladite directive afin d’éviter la duplication des mesures visant les prestataires tiers critiques de services TIC), et c) l’application d’une diligence afin de réduire au minimum l’éventuel risque de perturbation des services fournis par les prestataires tiers critiques de services TIC aux clients qui sont des entités ne relevant pas du champ d’application du présent règlement.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente pour la supervision DORA des entités financieres, et la loi du 1er aout 2024 portant mise en œuvre du règlement DORA désigné explicitement la CSSF et le CAA comme points de contact nationaux vis-a-vis du Joint Oversight Network. La place financiere luxembourgeoise concentre une forte dependance a quelques hyperscalers et a des prestataires de services partagés (eBRC, LuxConnect, POST), ce qui rend le considérant 91 particulièrement sensible : une mesure ESAs sur un prestataire critique peut affecter une part significative du secteur en cascade.

Pratique Luxgap : nous cartographions vos prestataires TIC critiques selon la double grille CSSF circulaire 22/806 (externalisation) et DORA articles 28-30, et nous integrons les communications du JON dans votre comite trimestriel de risque IT pour anticiper les renegociations contractuelles avant que la CSSF ne le demande.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 91 eclaire la philosophie de supervision des prestataires tiers TIC critiques : trois principes (coordination ESAs via le Joint Oversight Network, articulation avec NIS 2, et diligence pour ne pas perturber les clients hors scope). Le piège en pratique pour les entités financieres luxembourgeoises supervisees par la CSSF, c'est de croire que la désignation d'un prestataire comme critique par les ESAs vous decharge de la responsabilité : au contraire, elle ajoute une couche d'attention, et la CSSF continue d'attendre que vous demontriez votre propre maîtrise du risque tiers, même lorsque le prestataire est deja sous supervision européenne.

Comment ce considérant influence l'interprétation opérationnelle

La coordination ESAs via le JON signifié que vos prestataires critiques (cloud hyperscalers, SWIFT, Bloomberg, etc.) recevront des recommandations harmonisees : vous devez tracer ces recommandations et évaluer leur impact sur vos contrats existants.
L'articulation avec NIS 2 visé a eviter qu'un même prestataire soit audite deux fois sur les mêmes points : en pratique, votre cartographie des prestataires doit indiquer le regime applicable (DORA seul, NIS 2 seul, ou les deux) pour anticiper les zones de friction.
La diligence envers les clients hors scope (PME industrielles, communes, hôpitaux qui utilisent le même cloud que vous) implique que les mesures de supervision ne doivent pas déclencher une interruption de service generalisee : surveillez les communications de vos prestataires sur les actions correctives demandees par les superviseurs.
Pour la CSSF, ce considérant renforce l'idée que la responsabilité ultime reste sur l'entité financiere : la supervision européenne du prestataire ne remplace jamais votre due diligence article 28 RGPD et articles 28-30 DORA.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Radar transforme la supervision européenne des prestataires tiers TIC critiques en signal exploitable pour votre conformité CSSF, au lieu de la laisser dormir dans des PDF du JON que personne ne lit. L'outil agrege en temps reel les publications des trois AES (EBA, ESMA, EIOPA), les décisions du Joint Oversight Network, et les recommandations NIS 2 de l'ENISA, puis les croise avec votre registre d'information DORA pour vous dire exactement quels contrats fournisseurs sont impactes.

Surveille en continu les designations de prestataires critiques par les ESAs et alerte des qu'un de vos fournisseurs declare dans votre registre DORA passe sous supervision européenne.
Croise automatiquement les recommandations du JON avec vos contrats Odoo, DocuSign ou SharePoint pour identifier les clauses a renegocier dans les 30 jours.
Detecte les chevauchements DORA / NIS 2 sur un même prestataire et propose une matrice unifiée d'obligations a presenter en comite des risques.
Genere un tableau de bord prospectif des perturbations potentielles : si AWS Frankfurt fait l'objet d'une mesure ESAs, l'outil simule l'impact sur vos services critiques en s'appuyant sur votre cartographie de dependances.
Produit un rapport trimestriel horodate opposable a la CSSF, qui démontré que votre gouvernance tiers TIC intégré activement les signaux du superviseur principal européen.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre regule. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre DORA reel, avec un audit blanc gratuit sous 48h pour mesurer l'exposition de vos prestataires critiques avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 91

Ils nous font confiance

Avant de discuter