Je dois mettre mon organisation luxembourgeoise en conformité au considérant 93 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 93 DORA — Considérant 93

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 93

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(93)

Afin d’éviter les doubles emplois et les chevauchements, les autorités compétentes devraient s’abstenir de prendre à titre individuel des mesures destinées à assurer le suivi des risques liés aux prestataires tiers critiques de services TIC et devraient, à cet égard, se fonder sur l’évaluation du superviseur principal concerné. Toute mesure devrait en tout état de cause faire l’objet d’une coordination et d’un accord préalables avec le superviseur principal dans le contexte de l’exercice des missions du cadre de supervision.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en œuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente DORA pour la quasi-totalite du secteur financier, et le CAA pour le secteur assurance. La loi du 1er juin 2023 portant mise en œuvre du règlement DORA désigné explicitement la CSSF comme point de contact unique avec les Lead Overseers européens pour les entités surveillees a Luxembourg, ce qui renforce l'exigence de coordination préalable du considérant 93.

Pratique Luxgap : centralisez toute communication CTPP via votre compliance officer CSSF declare, et archivez chaque échange dans un dossier unique horodate pour démontrer l'alignement avec le Lead Overseer en cas de contrôle eSurfi ou inspection sur place.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 93 du DORA pose le principe de non-duplication : la CSSF, en tant qu'autorité competente luxembourgeoise, ne doit pas mener ses propres enquêtes paralleles sur un prestataire tiers critique TIC deja supervise par un Lead Overseer (ESMA, EBA ou EIOPA selon le cas). En pratique, le piège se materialise dans l'autre sens : une entité financiere luxembourgeoise qui recoit simultanement une demande d'information de la CSSF et une évaluation du Lead Overseer sur le même fournisseur, et qui repond de manière incoherente aux deux. La CSSF sanctionné alors l'absence de tracabilite entre les deux flux, pas le fournisseur.

Ce que le considérant 93 change concretement pour vous

Vous devez identifier quel Lead Overseer supervise chacun de vos prestataires tiers critiques TIC (Microsoft Azure, AWS, Google Cloud, Salesforce, etc.) des leur désignation officielle par les ESAs.
Toute réponse a la CSSF concernant un fournisseur supervise doit être alignee sur l'évaluation du Lead Overseer, sous peine de créer une contradiction utilisable contre vous lors d'un contrôle.
Vous devez conserver une piste d'audit unifiée : même registre, même classification du risque, mêmes mesures de mitigation, peu importe l'autorité qui interroge.
Le considérant protégé votre fournisseur des doubles enquêtes, mais ne vous protégé pas, vous, contre une incohérence interne entre vos réponses CSSF et vos réponses au Lead Overseer.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Sync Hub garantit que toutes vos communications réglementaires sur un même prestataire tiers critique TIC restent parfaitement coherentes entre la CSSF et le Lead Overseer désigné, en consolidant chaque échange dans un dossier fournisseur unique horodate. L'outil se connecte a votre messagerie Microsoft 365, a votre GED (SharePoint, Alfresco, eDOCS), a votre registre des contrats Odoo ou Sage BOB 50, et a la liste publique des prestataires tiers critiques désignés par les ESAs pour reconcilier en temps reel qui supervise quoi.

Identifié automatiquement chaque prestataire tiers critique TIC que vous utilisez en croisant vos contrats, vos factures et vos flux réseau avec la liste officielle des CTPPs désignés par les ESAs.
Mappe chaque fournisseur a son Lead Overseer competent (ESMA, EBA, EIOPA) et propage cette information dans votre registre DORA article 28(3).
Detecte les contradictions entre vos réponses CSSF et les évaluations publiques du Lead Overseer sur un même fournisseur, et alerte le DPO/CISO via Teams ou Slack avant envoi.
Genere un dossier fournisseur consolide, opposable a la CSSF lors d'un contrôle, qui démontré l'alignement de vos positions avec celles du superviseur principal.
Produit un rapport PDF horodate et cryptographiquement scelle a chaque échange réglementaire, prouvant la coordination préalable exigee par le considérant 93.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos fournisseurs reels, avec un audit blanc gratuit sous 48h pour cartographier vos CTPPs et leurs Lead Overseers avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 93

Ils nous font confiance

Avant de discuter