Règlement UE 2022/2554 · CSSF
DORA Luxembourg : conformité secteur financier.
Le règlement DORA est applicable depuis le 17 janvier 2025 a toutes les entités financieres luxembourgeoises : banques, PSF, fonds, assurances, gestionnaires, plateformes de crypto-actifs. La CSSF contrôle activement. Luxgap accompagne la mise en conformité avec une équipe d'ingenieurs cyber et juristes.
Qui est concerne par DORA au Luxembourg ?
Toutes les entités financieres : banques (CSSF, ECB), PSF support et PSF spécialisés, sociétés de gestion de fonds (UCITS, AIFM), compagnies d'assurance et de reassurance (CAA), institutions de retraite professionnelle, prestataires de services en crypto-actifs (CASP MiCA), plateformes de financement participatif, contreparties centrales. Mais aussi les prestataires TIC critiques qui servent ces entités (cloud, software, data centers).
Au Luxembourg, plus de 600 PSF sont concernes en plus des banques, fonds et assurances.
Au Luxembourg, plus de 600 PSF sont concernes en plus des banques, fonds et assurances.
Quels sont les 5 piliers de DORA ?
1. Gouvernance et gestion des risques TIC : stratégie de résilience, comite TIC, responsabilité des dirigeants.
2. Incidents TIC : classification, reporting CSSF (alerte initiale 4h, rapport intermédiaire 72h, rapport final 1 mois).
3. Tests de résilience : tests réguliers (annuels), tests avances TLPT (red team) pour les grandes entités tous les 3 ans.
4. Gestion des risques tiers TIC : registre des prestataires TIC, contrats DORA-compliant, plan d'exit, audit des prestataires critiques.
5. Partagé d'informations : échange de threat intelligence entre entités financieres.
2. Incidents TIC : classification, reporting CSSF (alerte initiale 4h, rapport intermédiaire 72h, rapport final 1 mois).
3. Tests de résilience : tests réguliers (annuels), tests avances TLPT (red team) pour les grandes entités tous les 3 ans.
4. Gestion des risques tiers TIC : registre des prestataires TIC, contrats DORA-compliant, plan d'exit, audit des prestataires critiques.
5. Partagé d'informations : échange de threat intelligence entre entités financieres.
Comment Luxgap accompagne DORA ?
Gap analysis DORA : état des lieux vs les 5 piliers, plan d'action priorisé, livre sous 4 semaines.
Registre TIC : cartographie des prestataires, classification critique/non-critique, mise en conformité des contrats (clauses DORA obligatoires).
Politique de gestion incidents : procédure de détection, classification, reporting CSSF, post-mortem.
Plan de tests : annuels (vulnerability assessment, pentest applicatif, scénario incident) + TLPT pour les entités concernees.
Mandat CISO externalisé pour le pilotage opérationnel.
Demander un devis DORA →
Registre TIC : cartographie des prestataires, classification critique/non-critique, mise en conformité des contrats (clauses DORA obligatoires).
Politique de gestion incidents : procédure de détection, classification, reporting CSSF, post-mortem.
Plan de tests : annuels (vulnerability assessment, pentest applicatif, scénario incident) + TLPT pour les entités concernees.
Mandat CISO externalisé pour le pilotage opérationnel.
Demander un devis DORA →
Quelles sont les sanctions et contrôles CSSF sous DORA ?
La CSSF a intégré DORA a son programme de contrôle 2025. Les manquements peuvent conduire a : amendes administratives (jusqu'a 1% du CA annuel mondial), injonctions de mise en conformité sous délai contraint, retrait d'agrement en cas de manquement grave repete, responsabilité personnelle des dirigeants (sanctions individuelles possibles). Au-dela des sanctions, un contrôle CSSF avec ecarts DORA materialises est un signal fort pour la reputation et la confiance des contreparties.
Discutons de votre situation.
Devis sous 24 heures ouvrées. Sans engagement, sans pression commerciale.