Je dois mettre mon organisation luxembourgeoise en conformité au considérant 98 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 98 annonce que la Commission européenne completera DORA par des actes délégués qui preciseront les critères de désignation des prestataires tiers TIC critiques et le bareme des redevances de supervision. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF n'est pas de lire ce considérant comme une formalite : il signifié que la liste des CTPP (Critical Third-Party Providers) et leur périmètre evolueront dans le temps, par paliers réglementaires successifs. Une banque privée qui aurait fige sa cartographie fournisseurs sur la version initiale du règlement se retrouvera mecaniquement non conforme des qu'un acte délégué affinera les seuils.Ce que ce considérant change concretement pour vousLes critères d'effet systemique seront affines : impact d'une defaillance, nombre de G-SII et O-SII clients, concentration de marché, cout de migration.Vos fournisseurs cloud, SaaS bancaires et editeurs core-banking peuvent basculer en statut CTPP entre deux exercices, declenchant l'application directe du regime de supervision par l'ESA désignée.Les redevances de supervision payees par les CTPP seront harmonisees : vos contrats doivent anticiper la repercussion eventuelle de ces couts.La cartographie fournisseurs TIC doit être vivante, pas un Excel annuel : le statut critique d'un prestataire peut changer en cours d'annee.Votre registre d'information article 28(3) DORA doit être construit pour absorber sans rupture les nouveaux critères que la Commission publiera.Comment Luxgap automatise ce risqueNotre Luxgap CTPP Radar transforme la veille réglementaire DORA en signal opérationnel : l'outil surveille en continu les actes délégués publies au JOUE et les listes CTPP désignées par les ESAs, puis re-evalue automatiquement chaque prestataire TIC de votre registre face aux critères en vigueur. Concretement, un agent LLM spécialisé lit chaque nouvel acte délégué de la Commission des sa publication, extrait les nouveaux seuils quantitatifs (concentration, cout de migration, nombre d'EIS clients) et recalcule le score de criticite de vos fournisseurs sans intervention manuelle du CISO.Scanne en temps reel le JOUE et les sites EBA, ESMA, EIOPA pour détecter toute nouvelle désignation CTPP ou tout acte délégué completant DORA.Re-evalue automatiquement chaque ligne de votre registre article 28(3) DORA contre les critères mis à jour, avec alerte Teams ou email des qu'un fournisseur bascule en zone critique.Croise vos données Azure, AWS, M365, Salesforce et core-banking (Temenos, Avaloq, OLYMPIC) pour materialiser la concentration reelle de vos charges TIC chez un même prestataire.Calcule un score predictif de cout de migration par fournisseur, base sur le volume de données hébergé, les API utilisees et la disponibilite d'alternatives sur le marché luxembourgeois (eBRC, LuxConnect, POST Telecom Cloud).Genere un rapport PDF horodate opposable a la CSSF demontrant que votre registre TIC est tenu à jour conformément ...

Considérant 98 DORA — Considérant 98

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 98

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(98)

Afin de mieux quantifier et qualifier les critères de désignation des prestataires tiers de services TIC comme critiques et d’harmoniser les redevances de supervision, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission afin de compléter le présent règlement en précisant l’effet systémique qu’une défaillance ou une interruption de fonctionnement d’un prestataire tiers de services TIC pourrait avoir sur les entités financières auxquelles il fournit des services TIC, le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du prestataire tiers de services TIC concerné, le nombre de prestataires tiers de services TIC actifs sur un marché donné, les coûts de la migration des données et des charges de travail liées aux TIC vers d’autres prestataires tiers de services TIC, ainsi que le montant des redevances de supervision et les modalités de leur paiement. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (22). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil devraient recevoir tous les documents au même moment que les experts des États membres, et leurs experts devraient avoir systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

Spécificité Luxembourg

Circulaire CSSF 22/806 relative aux arrangements d'externalisation

Au Luxembourg, la CSSF est l'autorité competente pour le suivi des entités financieres soumises a DORA et veille a l'intégration des actes délégués de la Commission dans ses circulaires sectorielles, notamment la circulaire CSSF 22/806 sur les arrangements d'externalisation TIC, qui pre-existait a DORA et qui est progressivement alignee sur le règlement. Toute évolution des critères CTPP issue d'un acte délégué est typiquement relayee par une mise à jour de circulaire ou une FAQ CSSF que vos équipes conformité doivent intégrer sans délai.

Pratique Luxgap : nous configurons le CTPP Radar pour surveiller simultanement le JOUE et les publications CSSF (circulaires, FAQ, communiqués), afin que vos seuils internes restent alignes a la fois sur le droit européen et sur la doctrine prudentielle luxembourgeoise.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 98 annonce que la Commission européenne completera DORA par des actes délégués qui preciseront les critères de désignation des prestataires tiers TIC critiques et le bareme des redevances de supervision. Le piège pour les entités financieres luxembourgeoises supervisees par la CSSF n'est pas de lire ce considérant comme une formalite : il signifié que la liste des CTPP (Critical Third-Party Providers) et leur périmètre evolueront dans le temps, par paliers réglementaires successifs. Une banque privée qui aurait fige sa cartographie fournisseurs sur la version initiale du règlement se retrouvera mecaniquement non conforme des qu'un acte délégué affinera les seuils.

Ce que ce considérant change concretement pour vous

Les critères d'effet systemique seront affines : impact d'une defaillance, nombre de G-SII et O-SII clients, concentration de marché, cout de migration.
Vos fournisseurs cloud, SaaS bancaires et editeurs core-banking peuvent basculer en statut CTPP entre deux exercices, declenchant l'application directe du regime de supervision par l'ESA désignée.
Les redevances de supervision payees par les CTPP seront harmonisees : vos contrats doivent anticiper la repercussion eventuelle de ces couts.
La cartographie fournisseurs TIC doit être vivante, pas un Excel annuel : le statut critique d'un prestataire peut changer en cours d'annee.
Votre registre d'information article 28(3) DORA doit être construit pour absorber sans rupture les nouveaux critères que la Commission publiera.

Comment Luxgap automatise ce risque

Notre Luxgap CTPP Radar transforme la veille réglementaire DORA en signal opérationnel : l'outil surveille en continu les actes délégués publies au JOUE et les listes CTPP désignées par les ESAs, puis re-evalue automatiquement chaque prestataire TIC de votre registre face aux critères en vigueur. Concretement, un agent LLM spécialisé lit chaque nouvel acte délégué de la Commission des sa publication, extrait les nouveaux seuils quantitatifs (concentration, cout de migration, nombre d'EIS clients) et recalcule le score de criticite de vos fournisseurs sans intervention manuelle du CISO.

Scanne en temps reel le JOUE et les sites EBA, ESMA, EIOPA pour détecter toute nouvelle désignation CTPP ou tout acte délégué completant DORA.
Re-evalue automatiquement chaque ligne de votre registre article 28(3) DORA contre les critères mis à jour, avec alerte Teams ou email des qu'un fournisseur bascule en zone critique.
Croise vos données Azure, AWS, M365, Salesforce et core-banking (Temenos, Avaloq, OLYMPIC) pour materialiser la concentration reelle de vos charges TIC chez un même prestataire.
Calcule un score predictif de cout de migration par fournisseur, base sur le volume de données hébergé, les API utilisees et la disponibilite d'alternatives sur le marché luxembourgeois (eBRC, LuxConnect, POST Telecom Cloud).
Genere un rapport PDF horodate opposable a la CSSF demontrant que votre registre TIC est tenu à jour conformément aux dernières précisions de la Commission.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre TIC reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition de concentration avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 98

Ils nous font confiance

Avant de discuter