Reglement UE 2022/2554 · CSSF
DORA Luxembourg : conformite secteur financier.
Le reglement DORA est applicable depuis le 17 janvier 2025 a toutes les entites financieres luxembourgeoises : banques, PSF, fonds, assurances, gestionnaires, plateformes de crypto-actifs. La CSSF controle activement. Luxgap accompagne la mise en conformite avec une equipe d'ingenieurs cyber et juristes.
Qui est concerne par DORA au Luxembourg ?
Toutes les entites financieres : banques (CSSF, ECB), PSF support et PSF specialises, societes de gestion de fonds (UCITS, AIFM), compagnies d'assurance et de reassurance (CAA), institutions de retraite professionnelle, prestataires de services en crypto-actifs (CASP MiCA), plateformes de financement participatif, contreparties centrales. Mais aussi les prestataires TIC critiques qui servent ces entites (cloud, software, data centers).
Au Luxembourg, plus de 600 PSF sont concernes en plus des banques, fonds et assurances.
Au Luxembourg, plus de 600 PSF sont concernes en plus des banques, fonds et assurances.
Quels sont les 5 piliers de DORA ?
1. Gouvernance et gestion des risques TIC : strategie de resilience, comite TIC, responsabilite des dirigeants.
2. Incidents TIC : classification, reporting CSSF (alerte initiale 4h, rapport intermediaire 72h, rapport final 1 mois).
3. Tests de resilience : tests reguliers (annuels), tests avances TLPT (red team) pour les grandes entites tous les 3 ans.
4. Gestion des risques tiers TIC : registre des prestataires TIC, contrats DORA-compliant, plan d'exit, audit des prestataires critiques.
5. Partage d'informations : echange de threat intelligence entre entites financieres.
2. Incidents TIC : classification, reporting CSSF (alerte initiale 4h, rapport intermediaire 72h, rapport final 1 mois).
3. Tests de resilience : tests reguliers (annuels), tests avances TLPT (red team) pour les grandes entites tous les 3 ans.
4. Gestion des risques tiers TIC : registre des prestataires TIC, contrats DORA-compliant, plan d'exit, audit des prestataires critiques.
5. Partage d'informations : echange de threat intelligence entre entites financieres.
Comment Luxgap accompagne DORA ?
Gap analysis DORA : etat des lieux vs les 5 piliers, plan d'action priorise, livre sous 4 semaines.
Registre TIC : cartographie des prestataires, classification critique/non-critique, mise en conformite des contrats (clauses DORA obligatoires).
Politique de gestion incidents : procedure de detection, classification, reporting CSSF, post-mortem.
Plan de tests : annuels (vulnerability assessment, pentest applicatif, scenario incident) + TLPT pour les entites concernees.
Mandat CISO externalise pour le pilotage operationnel.
Demander un devis DORA →
Registre TIC : cartographie des prestataires, classification critique/non-critique, mise en conformite des contrats (clauses DORA obligatoires).
Politique de gestion incidents : procedure de detection, classification, reporting CSSF, post-mortem.
Plan de tests : annuels (vulnerability assessment, pentest applicatif, scenario incident) + TLPT pour les entites concernees.
Mandat CISO externalise pour le pilotage operationnel.
Demander un devis DORA →
Quelles sont les sanctions et controles CSSF sous DORA ?
La CSSF a integre DORA a son programme de controle 2025. Les manquements peuvent conduire a : amendes administratives (jusqu'a 1% du CA annuel mondial), injonctions de mise en conformite sous delai contraint, retrait d'agrement en cas de manquement grave repete, responsabilite personnelle des dirigeants (sanctions individuelles possibles). Au-dela des sanctions, un controle CSSF avec ecarts DORA materialises est un signal fort pour la reputation et la confiance des contreparties.
Discutons de votre situation.
Devis sous 24 heures ouvrées. Sans engagement, sans pression commerciale.