DORA – Délai de soumission du registre d’information – Portail eDesk ouvert à partir du 11 février 2026

Conformément à l’article 28, paragraphe 3, du règlement (UE) 2022/2554 (règlement DORA), les entités financières soumises à la réglementation DORA doivent tenir et mettre à jour, au niveau de l’entité, ainsi qu’aux niveaux sous-consolidé et consolidé, un registre d’informations en rapport avec tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.

En application de la circulaire CSSF 25/882, les entités financières sont tenues de soumettre chaque année leur registre d’informations à la CSSF, au niveau individuel ou consolidé, selon le cas.

Les entités financières sont tenues de soumettre leur registre d’informations à la CSSF entre le 11 février 2026 et le 31 mars 2026 via eDesk. Il est fortement recommandé de le soumettre dès que possible et de ne pas attendre la fin de la période de soumission afin de s’assurer que les problèmes potentiels peuvent être traités avant la fin du mois de mars.

Suite à la publication de la Question/Réponse n° 102 (lien) par les AES, les succursales de pays tiers des types d’entités financières relevant du champ d’application du règlement DORA et soumises à la surveillance de la CSSF doivent désormais soumettre un registre d’informations à la CSSF. Pour ces entités, la même période de soumission s’applique.

Pour 2026, la date de référence du registre d’informations est fixée au 31 décembre 2025, c’est-à-dire que le registre d’informations doit contenir tous les accords contractuels conclus jusqu’au 31 décembre 2025.

Les contrôles de validation définis par les AES et mis à jour pour la dernière fois en avril 2025 n’ont pas changé (lien), mais seront appliqués à davantage de champs de données afin d’améliorer la qualité des données reçues. Par conséquent, dans certains cas, un registre d’informations qui a été accepté l’année dernière peut être rejeté cette année. C’est pourquoi il est important que les entités financières soumettent leur registre d’informations dès que possible afin de disposer de suffisamment de temps pour apporter les corrections nécessaires.

Pour pouvoir télécharger le registre d’informations via le portail eDesk, l’identifiant d’entité juridique (LEI) de l’entité financière qui soumet le registre d’informations doit être communiqué au préalable à la CSSF. En outre, le rôle « DORA Reporting » doit être attribué par une entité financière à au moins un employé dédié.

Une fois le rôle « DORA Reporting » attribué, la procédure eDesk « Soumission du registre d’informations » peut être sélectionnée à partir du 11 février.

Vous trouverez plus de détails sur la manière d’attribuer ce rôle dans le guide utilisateur du portail eDesk.

Au cours des processus de téléchargement et de validation, certains messages seront générés et communiqués à l’entité financière. Veuillez noter que ces messages ne seront adressés qu’à la personne ayant effectivement téléchargé le registre d’informations et non à tous les employés auxquels le rôle « DORA Reporting » a pu être attribué.

La CSSF souligne que le registre d’informations doit être soumis sous forme de fichiers csv simples, joints dans un fichier .zip suivant une structure de dossiers et une convention de nom des fichiers, telles que définies par les AES.

Pour rappel, la CSSF recommande vivement aux entités financières de suivre scrupuleusement les informations pratiques et les instructions des AES disponibles sur le site Internet de l’EBA pour la préparation et la soumission du registre d’informations (lien).

De plus amples détails sur la manière de soumettre le registre à la CSSF sont disponibles dans le Guide utilisateur DORA – Soumission du registre d’informations (User Guide for DORA – Submission of the Register of Information ) sur le portail eDesk.

Les registres d’informations téléchargés feront l’objet de contrôles de validation par la CSSF en temps utile. Si des erreurs sont détectées, l’entité financière qui a soumis le registre sera invitée à les corriger et à soumettre à nouveau son registre d’informations avant le 31 mars 2026.

Les registres d’informations acceptés par la CSSF peuvent être soumis sur demande à l’AES concernée, qui effectuera des contrôles de validations supplémentaires. Si les AES détectent des erreurs supplémentaires et refusent par conséquent le registre d’informations de leur côté, l’entité financière qui l’a soumis doit corriger les erreurs détectées et resoumettre son registre d’informations à la CSSF, qui le transmettra à nouveau aux AES.

Dans le cas où des entités financières seraient assistées par des tiers pour la soumission de leur registre d’informations, la CSSF souhaite attirer l’attention sur les points suivants. Le fait de donner accès au portail eDesk à un tiers, même avec un rôle spécifique, comporte le risque que ce tiers ait accès à d’autres procédures de déclaration eDesk, c’est-à-dire à des données de votre entité qui vont au-delà des données strictement liées à la soumission du registre d’informations, y compris des données potentiellement sensibles. Veuillez vous assurer que tout tiers ayant accès au portail eDesk confirme le strict respect des obligations de confidentialité relatives aux données auxquelles il peut avoir accès. Veuillez noter que vous restez seul responsable de la protection de vos données sensibles conformément à la réglementation applicable.

Pour toute question technique relative à l’inscription à ou à l’utilisation du portail eDesk, veuillez contacter : edesk@cssf.lu.

Pour toute question relative au contenu du registre d’informations ou aux messages d’erreur générés lors de l’analyse du registre d’informations soumis, veuillez contacter : ictrisksupervision@cssf.lu.

Si une question concerne un registre d’informations déjà soumis, les entités financières doivent fournir le code de traçabilité eDesk correspondant lorsqu’elles contactent le service d’assistance de la CSSF.

La CSSF a publié une série de documents afin d’aider les entités financières à soumettre leur registre d’informations.

Les guides publiés par la CSSF peuvent être mis à jour si nécessaire au cours de l’exercice de soumission de cette année. La CSSF conseille aux entités financières de consulter la dernière version du ou des documents pertinents en fonction de leurs questions spécifiques avant de contacter nos services d’assistance.

The guidance published by the CSSF may be updated if required during this year’s submission exercise. The CSSF advises financial entities to consult the latest version of the relevant document(s) according to their specific question(s) before contacting our helpdesks.