Je dois mettre mon organisation luxembourgeoise en conformité au considérant 95 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 95 eclaire un point souvent sous-estimé : la supervision des prestataires tiers TIC critiques sera conduite par des équipes d'examen multidisciplinaires mixant ESAs, superviseur principal, autorités NIS 2 volontaires et autorités competentes nationales (CSSF au Luxembourg). En pratique, une entité financiere supervisee qui se prepare uniquement a un contrôle CSSF classique va être surprise : l'enquête generale ou l'inspection sera menee par une équipe pluridisciplinaire avec des profils techniques pointus (cloud, cryptographie, résilience opérationnelle), qui croisera vos preuves contractuelles, vos logs et vos tests TLPT. Le piège classique consiste a fournir des réponses juridiques génériques alors que l'équipe attend des artefacts techniques opposables.Ce que ce considérant change concretement pour les entités financieres LULes CTPP (Critical ICT Third-Party Providers) seront audites par des équipes qui partagent leurs constats entre autorités : un constat fait par l'EBA remonte a la CSSF et inversement.La CSSF pourra contribuer a l'équipe d'examen d'un CTPP utilise par vos pairs luxembourgeois, et reutiliser les constats pour vos propres inspections article 30.Vos registres d'information article 28(3) doivent être alignes au format ITS des ESAs, car ces équipes les comparent transversalement entre entités.La cooperation NIS 2 (ILR au Luxembourg) etant volontaire mais encouragee, attendez-vous a un croisement DORA/NIS 2 sur les prestataires mutualises (datacenters eBRC, LuxConnect, POST).Les suites données (recommandations, sanctions article 35) seront coordonnees : une recommandation au CTPP peut déclencher une obligation de remédiation chez vous sous 6 mois.Comment Luxgap automatise ce risqueNotre Luxgap Oversight Readiness Cockpit transforme votre dossier de supervision DORA en preuve opposable mobilisable en 4 heures lorsqu'une équipe d'examen multidisciplinaire (ESAs + CSSF + superviseur principal) déclenche une enquête sur un de vos CTPP. L'outil agrege en continu les artefacts attendus par les équipes pluridisciplinaires en croisant vos contrats Odoo/Ironclad, vos logs Microsoft Sentinel, vos tickets ServiceNow, vos rapports TLPT et les certifications publiques de vos prestataires (ISO 27001, SOC 2 Type II, PCI-DSS, C5).Detecte automatiquement quels de vos prestataires sont classes CTPP par les ESAs et alerte des qu'une désignation officielle paraît au Journal officiel UE.Genere le registre d'information article 28(3) au format ITS exact des ESAs, pret a être transmis a la CSSF sans retraitement manuel.Cartographie les dependances en cascade (vos CTPP, leurs sous-traitants, les datacenters eBRC/LuxConnect) et signale les concentrations de risque visibles par l'équipe d'examen.Produit un dossier d'inspection horodate et cryptographiquement scelle, structure selon la grille d'examen des ESAs, opposable lors d'une inspection conjointe.Synchronise les recommandations emises par le superviseur principal au...

Considérant 95 DORA — Considérant 95

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 95

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(95)

Pour tirer parti des compétences, des aptitudes techniques et de l’expertise du personnel spécialisé dans le risque opérationnel et le risque lié aux TIC au sein des autorités compétentes, les trois AES et, à titre volontaire, les autorités compétentes en vertu de la directive (UE) 2022/2555, et le superviseur principal devraient s’appuyer sur les capacités et les connaissances nationales dans le domaine de la surveillance et mettre en place des équipes d’examen spécifiques pour chaque prestataire tiers critique de services TIC, en constituant des équipes multidisciplinaires à l’appui de la préparation et de l’exécution des activités de supervision, y compris les enquêtes générales et les inspections auprès des prestataires tiers critiques de services TIC, ainsi que toute suite nécessaire à leur donner.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente DORA et participera aux équipes d'examen multidisciplinaires visees par ce considérant. La loi du 1er aout 2024 portant mise en œuvre du règlement DORA désigné la CSSF et le Commissariat aux Assurances (CAA) comme autorités competentes selon le type d'entité, et organise leur cooperation avec l'ILR (autorité NIS 2) sur les prestataires mutualises typiquement luxembourgeois (eBRC, LuxConnect, POST Telecom Cloud).

Pratique Luxgap : preparez un dossier d'inspection unique exploitable a la fois par la CSSF (angle DORA) et par l'ILR (angle NIS 2) sur vos prestataires partagés, car les deux autorités s'echangeront les constats.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 95 eclaire un point souvent sous-estimé : la supervision des prestataires tiers TIC critiques sera conduite par des équipes d'examen multidisciplinaires mixant ESAs, superviseur principal, autorités NIS 2 volontaires et autorités competentes nationales (CSSF au Luxembourg). En pratique, une entité financiere supervisee qui se prepare uniquement a un contrôle CSSF classique va être surprise : l'enquête generale ou l'inspection sera menee par une équipe pluridisciplinaire avec des profils techniques pointus (cloud, cryptographie, résilience opérationnelle), qui croisera vos preuves contractuelles, vos logs et vos tests TLPT. Le piège classique consiste a fournir des réponses juridiques génériques alors que l'équipe attend des artefacts techniques opposables.

Ce que ce considérant change concretement pour les entités financieres LU

Les CTPP (Critical ICT Third-Party Providers) seront audites par des équipes qui partagent leurs constats entre autorités : un constat fait par l'EBA remonte a la CSSF et inversement.
La CSSF pourra contribuer a l'équipe d'examen d'un CTPP utilise par vos pairs luxembourgeois, et reutiliser les constats pour vos propres inspections article 30.
Vos registres d'information article 28(3) doivent être alignes au format ITS des ESAs, car ces équipes les comparent transversalement entre entités.
La cooperation NIS 2 (ILR au Luxembourg) etant volontaire mais encouragee, attendez-vous a un croisement DORA/NIS 2 sur les prestataires mutualises (datacenters eBRC, LuxConnect, POST).
Les suites données (recommandations, sanctions article 35) seront coordonnees : une recommandation au CTPP peut déclencher une obligation de remédiation chez vous sous 6 mois.

Comment Luxgap automatise ce risque

Notre Luxgap Oversight Readiness Cockpit transforme votre dossier de supervision DORA en preuve opposable mobilisable en 4 heures lorsqu'une équipe d'examen multidisciplinaire (ESAs + CSSF + superviseur principal) déclenche une enquête sur un de vos CTPP. L'outil agrege en continu les artefacts attendus par les équipes pluridisciplinaires en croisant vos contrats Odoo/Ironclad, vos logs Microsoft Sentinel, vos tickets ServiceNow, vos rapports TLPT et les certifications publiques de vos prestataires (ISO 27001, SOC 2 Type II, PCI-DSS, C5).

Detecte automatiquement quels de vos prestataires sont classes CTPP par les ESAs et alerte des qu'une désignation officielle paraît au Journal officiel UE.
Genere le registre d'information article 28(3) au format ITS exact des ESAs, pret a être transmis a la CSSF sans retraitement manuel.
Cartographie les dependances en cascade (vos CTPP, leurs sous-traitants, les datacenters eBRC/LuxConnect) et signale les concentrations de risque visibles par l'équipe d'examen.
Produit un dossier d'inspection horodate et cryptographiquement scelle, structure selon la grille d'examen des ESAs, opposable lors d'une inspection conjointe.
Synchronise les recommandations emises par le superviseur principal au CTPP avec votre plan de remédiation interne, et alerte sur les délais de mise en conformité article 42.
Predit, sur la base des certifications expirantes et des incidents publics de vos prestataires, lesquels seront probablement cibles d'une enquête generale dans les 12 mois.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent un audit blanc gratuit sous 48h sur votre portefeuille de prestataires TIC pour materialiser votre exposition reelle a une enquête des équipes d'examen DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 95

Ils nous font confiance

Avant de discuter