Articles, par nos experts

Décrypter la conformité, la sécurité et l'IA.

Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.

5 articles trouves · #dora · Expertise Luxgap

DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?

La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.

DORA art. 28: la CSSF durcit le ton sur le registre des dépendances ICT

Au 16 mars 2026, seules 40% des entités avaient soumis leur registre DORA art. 28. La CSSF prévient: contrôles qualité par les AES, rejets possibles et corrections sous délais, avec un « best effort » au 30 juin pour certaines succursales.

CSSF: DORA prime et précise l’externalisation TIC (avril 2025)

La CSSF a acté la primauté de DORA dès le 17 janvier 2025 et publie la circulaire 25/882 pour encadrer l’usage de services TIC tiers, le registre d’informations (art. 28) et les notifications via eDesk.

DORA — TLPT encadré par le règlement délégué (UE) 2025/1190

La Commission a précisé le TLPT sous DORA via le règlement délégué (UE) 2025/1190. Au Luxembourg, la CSSF est l’autorité TLPT: le calendrier, le périmètre et la méthode sont désormais clairs.

DORA, article 28 : le « registre des dépendances ICT » attendu par la CSSF

Depuis le 17 janvier 2025, toutes les entités financières soumises à DORA doivent tenir un registre structuré de leurs contrats ICT. La CSSF a précisé le calendrier et les modalités de soumission au Luxembourg.