Je dois mettre mon organisation luxembourgeoise en conformité au considérant 92 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 92 verrouille une illusion dangereuse : croire que parce que les ESAs supervisent désormais directement les prestataires tiers critiques de TIC (Microsoft, AWS, Google Cloud), l'entité financière peut relâcher sa propre vigilance contractuelle. La CSSF sanctionné précisément l'inverse : la supervision européenne ne dilue ni la responsabilité du conseil d'administration au titre de l'article 5 de DORA, ni l'obligation de monitoring continu des contrats au titre de l'article 28. Un PSF qui invoquerait "mais Azure est déjà supervisé par l'EBA" pour justifier l'absence de suivi de sa propre relation contractuelle s'exposé à une sanction directe.La double responsabilité que ce considérant clarifieResponsabilité supervisée : les ESAs supervisent le prestataire tiers critique au niveau européen (recommandations, demandes d'informations, inspections sur site chez le fournisseur).Responsabilité conservée : chaque entité financière doit continuer à exercer son own risk management sur sa propre relation contractuelle (clauses article 30, droits d'audit, plans de sortie, BIA).Pas d'effet liberatoire : aucune recommandation ESA adressée au prestataire critique ne dispense l'entité financière d'agir si le risque résiduel sur son périmètre reste élevé.Suivi permanent : le monitoring contractuel doit être continu (SLA, incidents, certifications, sous-traitants en cascade) et non ponctuel au moment du renouvellement.Conformité financière inchangée : MiFID II, CRR, Solvabilité II, AIFMD continuent de s'appliquer en parallèle, sans interférence avec la supervision DORA.Comment Luxgap automatise ce risqueNotre Luxgap Oversight Delta Tracker rend impossible la confusion entre supervision européenne et responsabilité résiduelle de l'entité financière. L'outil ingère en continu les recommandations publiées par les ESAs au titre du chapitre V de DORA pour chaque prestataire tiers critique désigné, les corrèle avec votre registre d'information article 28(3) et identifié automatiquement le delta de risque que VOUS devez encore traiter, indépendamment de toute action de supervision.Synchronise quotidiennement la liste officielle des CTPP désignés par les ESAs avec votre registre d'information CSSF et alerte dès qu'un de vos prestataires bascule en statut critique.Analyse via agent IA chaque recommandation ESA publique et génère automatiquement la liste des actions résiduelles que votre entité doit conduire en propre (clauses article 30 à renforcer, plan de sortie à actualiser, BIA à réviser).Détecte les zones grises où l'entité financière croit à tort être couverte par la supervision européenne (sous-traitants en cascade non couverts, services hors périmètre critique, régions cloud non auditées).Produit un rapport trimestriel horodaté, opposable à la CSSF lors d'une inspection ICAAP ou SREP, qui démontre la séparation claire entre actions de supervision européenne et mesures de gestion interne du risque.Génère le tableau de bord conseil ...

Considérant 92 DORA — Considérant 92

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 92

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(92)

Le cadre de supervision ne devrait pas remplacer, ni se substituer en aucune façon, même partiellement, à l’obligation pour les entités financières de gérer elles-mêmes les risques que comporte le recours à des prestataires tiers de services TIC, y compris leur obligation de maintenir un suivi permanent des accords contractuels conclus avec des prestataires tiers critiques de services TIC. De même, le cadre de supervision ne devrait changer en rien l’entière responsabilité qui incombe aux entités financières de se conformer à toutes les obligations juridiques énoncées dans le présent règlement et dans le droit applicable aux services financiers et de s’en acquitter.

Spécificité Luxembourg

Circulaire CSSF 22/806 sur les arrangements de sous-traitance

Au Luxembourg, la CSSF est l'autorité competente désignée au titre de l'article 46 de DORA pour les établissements de crédit, PSF, établissements de paiement, EMI et fonds d'investissement. La circulaire CSSF 22/806 sur la sous-traitance, lue conjointement avec DORA, exige deja un suivi continu et documente des accords avec les prestataires TIC, y compris ceux non désignés comme critiques par les ESAs. Le CAA reste competent pour les entreprises d'assurance.

Pratique Luxgap : ne jamais classer un prestataire en "deja supervise par les ESAs donc rien a faire" dans le registre CSSF. Maintenir une colonne dediee "actions residuelles entité" pour chaque CTPP, revue trimestriellement par le comite des risques.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 92 verrouille une illusion dangereuse : croire que parce que les ESAs supervisent désormais directement les prestataires tiers critiques de TIC (Microsoft, AWS, Google Cloud), l'entité financière peut relâcher sa propre vigilance contractuelle. La CSSF sanctionné précisément l'inverse : la supervision européenne ne dilue ni la responsabilité du conseil d'administration au titre de l'article 5 de DORA, ni l'obligation de monitoring continu des contrats au titre de l'article 28. Un PSF qui invoquerait "mais Azure est déjà supervisé par l'EBA" pour justifier l'absence de suivi de sa propre relation contractuelle s'exposé à une sanction directe.

La double responsabilité que ce considérant clarifie

Responsabilité supervisée : les ESAs supervisent le prestataire tiers critique au niveau européen (recommandations, demandes d'informations, inspections sur site chez le fournisseur).
Responsabilité conservée : chaque entité financière doit continuer à exercer son own risk management sur sa propre relation contractuelle (clauses article 30, droits d'audit, plans de sortie, BIA).
Pas d'effet liberatoire : aucune recommandation ESA adressée au prestataire critique ne dispense l'entité financière d'agir si le risque résiduel sur son périmètre reste élevé.
Suivi permanent : le monitoring contractuel doit être continu (SLA, incidents, certifications, sous-traitants en cascade) et non ponctuel au moment du renouvellement.
Conformité financière inchangée : MiFID II, CRR, Solvabilité II, AIFMD continuent de s'appliquer en parallèle, sans interférence avec la supervision DORA.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Delta Tracker rend impossible la confusion entre supervision européenne et responsabilité résiduelle de l'entité financière. L'outil ingère en continu les recommandations publiées par les ESAs au titre du chapitre V de DORA pour chaque prestataire tiers critique désigné, les corrèle avec votre registre d'information article 28(3) et identifié automatiquement le delta de risque que VOUS devez encore traiter, indépendamment de toute action de supervision.

Synchronise quotidiennement la liste officielle des CTPP désignés par les ESAs avec votre registre d'information CSSF et alerte dès qu'un de vos prestataires bascule en statut critique.
Analyse via agent IA chaque recommandation ESA publique et génère automatiquement la liste des actions résiduelles que votre entité doit conduire en propre (clauses article 30 à renforcer, plan de sortie à actualiser, BIA à réviser).
Détecte les zones grises où l'entité financière croit à tort être couverte par la supervision européenne (sous-traitants en cascade non couverts, services hors périmètre critique, régions cloud non auditées).
Produit un rapport trimestriel horodaté, opposable à la CSSF lors d'une inspection ICAAP ou SREP, qui démontre la séparation claire entre actions de supervision européenne et mesures de gestion interne du risque.
Génère le tableau de bord conseil d'administration exigé par l'article 5 de DORA, prouvant que la direction n'a pas délégué sa responsabilité au cadre de supervision.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos prestataires tiers critiques réels, avec un audit blanc gratuit sous 48h pour mesurer l'écart entre votre registre actuel et les exigences résiduelles de DORA.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 92

Ils nous font confiance

Avant de discuter