AI Act · NIS 2 · RGPD · DORA · Whistleblowing · CSSF

Vos obligations légales, sans le jargon.

Cinq textes structurent aujourd'hui la conformité numérique au Luxembourg. Voici, pour chacun, qui est concerné, les obligations clés, les échéances et les sanctions. Si vous voulez savoir précisément ce qui s'applique à vous, configurez votre devis ou écrivez-nous.

Configurer mon devis → Nous contacter

Cadre européen

Les règlements et directives de l'Union européenne applicables au Luxembourg.

🛡️  RGPD, Règlement Général sur la Protection des Données

Concernés
Toute organisation qui traite des données personnelles de résidents européens. Aucune exception de taille.
Obligations
Tenue d'un registre des traitements, désignation d'un DPO si traitement à grande échelle, AIPD pour les traitements à risque, notification des violations sous 72h, droits des personnes.
Échéance
En vigueur depuis mai 2018. La CNPD luxembourgeoise contrôle activement.
Sanctions
Jusqu'à 20 M€ ou 4 % du CA mondial. Plus de 30 M€ d'amendes prononcées au Luxembourg.
Comment Luxgap aide : Notre mandat DPO externalisé couvre toutes ces obligations.

Tout savoir sur cette loi → Explorer les articles →

⚔️  NIS 2, Sécurité des réseaux et systèmes d'information

Concernés
Entités essentielles ou importantes : énergie, transport, banque, santé, eau, infrastructures numériques, postes, gouvernement, recherche, fabrication, agroalimentaire (plus de 50 salariés ou 10 M€ CA).
Obligations
Politique de gestion des risques cyber, désignation d'un responsable sécurité, formation des dirigeants, reporting d'incidents sous 24h, sécurisation de la supply chain.
Échéance
Transposée au Luxembourg en 2024. Les contrôles ILR/HCPN ont commencé.
Sanctions
Jusqu'à 10 M€ ou 2 % du CA mondial. Responsabilité personnelle des dirigeants pour défaut de gouvernance.
Comment Luxgap aide : Notre mandat CISO externalisé prend en charge l'ensemble du dispositif.

Tout savoir sur cette loi → Explorer les articles →

🏦  DORA, Digital Operational Resilience Act

Concernés
Secteur financier : banques, assurances, gestionnaires d'actifs, fonds, infrastructures de marché, PSAN crypto, dépositaires, prestataires informatiques critiques de ces entités.
Obligations
Cadre de gestion des risques ICT, registre des incidents, tests de résilience (TLPT pour les acteurs critiques), gestion des tiers ICT critiques avec clauses obligatoires, reporting au régulateur.
Échéance
Applicable depuis le 17 janvier 2025. La CSSF luxembourgeoise a publié ses circulaires.
Sanctions
Sanctions pécuniaires graduées par la CSSF, jusqu'à retrait de l'agrément en cas de manquement majeur.
Comment Luxgap aide : Gap analysis DORA + mise en conformité (BCP, registre incidents, registre des tiers).

Tout savoir sur cette loi → Explorer les articles →

🤖  AI Act, Règlement européen sur l'IA

Concernés
Tout fournisseur, déployeur, importateur ou distributeur de systèmes d'IA en Europe. Champ d'application extraterritorial (un fournisseur hors UE qui met son IA sur le marché européen est concerné).
Obligations
Interdiction des pratiques inacceptables (notation sociale, manipulation), exigences strictes pour les IA à haut risque (biométrie, RH, crédit, justice, infrastructures), obligations de transparence pour l'IA générative, gouvernance des modèles fondationnels.
Échéance
Échéances échelonnées : interdictions en vigueur depuis février 2025, obligations transparence août 2026, IA haut risque août 2027.
Sanctions
Jusqu'à 35 M€ ou 7 % du CA mondial pour les pratiques interdites, sanctions plus sévères que le RGPD.
Comment Luxgap aide : Notre accompagnement IA inclut le cadrage AI Act, la cartographie de vos systèmes, et le plan de conformité.

Tout savoir sur cette loi → Explorer les articles →

🔔  Whistleblowing, Lanceurs d'alerte

Concernés
Toute organisation publique ou privée de plus de 50 salariés.
Obligations
Mise en place d'un canal interne de signalement, garantie de confidentialité du lanceur, traitement des alertes sous 3 mois, retour d'information.
Échéance
Loi luxembourgeoise du 16 mai 2023, en vigueur. Contrôle par l'Office des lanceurs d'alerte.
Sanctions
Jusqu'à 250 000 € pour l'organisation, sanctions personnelles pour les dirigeants en cas de représailles.
Comment Luxgap aide : Mise en place du canal externalisé, formation des référents, reporting annuel.

Tout savoir sur cette loi → Explorer les articles →

Secteur financier luxembourgeois — DORA & circulaires CSSF

Le cadre applicable aux entités financières luxembourgeoises (banques, PSF, établissements de paiement et de monnaie électronique, sociétés de gestion, fonds) : les normes techniques de DORA (dont le RTS sur les tests TLPT, mis en œuvre via TIBER-LU) et les circulaires de la CSSF sur la cybersécurité, la gestion des risques TIC, l'externalisation, le cloud et la gouvernance. Chaque texte est décortiqué section par section, avec le conseil pratique Luxgap.

RTS TLPT (UE 2025/1190)
Règlement délégué (UE) 2025/1190 sur les tests de pénétration fondés sur la menace (TLPT)
Les normes techniques DORA pour les tests de pénétration fondés sur la menace, mises en oeuvre au Luxembourg via TIBER-LU sous l'a
9 sections analysées →
CSSF 25/883
La CSSF 22/806 pour aligner avec DORA
L'amendement CSSF qui aligne la circulaire 22/806 sur le règlement DORA depuis le 9 avril 2025.
5 sections analysées →
CSSF 25/882
Les exigences relatives à l'utilisation de services TIC tiers pour les entités DORA
Les attentes pratiques de la CSSF sur les prestataires tiers TIC, en complément du règlement DORA.
4 sections analysées →
CSSF 25/881
La CSSF 20/750 sur la gestion des risques TIC et de sécurité
L'alignement de la circulaire socle 20/750 (risques TIC) sur le règlement DORA.
4 sections analysées →
CSSF 25/880
La gestion des relations avec les utilisateurs de services de paiement et l'évaluation TIC
Les attentes CSSF pour la relation client des PSP et l'auto-évaluation TIC, dans le sillage de DORA.
3 sections analysées →
CSSF 22/806
L'externalisation (modifiée par CSSF 25/883)
Le cadre CSSF pour l'externalisation et le cloud des entités financières luxembourgeoises.
28 sections analysées →
CSSF 20/750
Les exigences de gestion des risques TIC et de sécurité
Le socle CSSF de la gestion des risques TIC et de la sécurité de l'information dans le secteur financier.
4 sections analysées →
CSSF 12/552
L'administration centrale, la gouvernance interne et la gestion des risques
Le cadre CSSF de gouvernance interne et de contrôle des banques et entreprises d'investissement.
17 sections analysées →
CSSF 11/504 (abrogée)
(abrogée) sur les fraudes et incidents dus à des attaques informatiques externes
ABROGÉE le 1er avril 2024 et remplacée par la circulaire CSSF 24/847. Conservée pour mémoire : ancienne obligation de déclaration
2 sections analysées →
CSSF 24/847
Le cadre de notification des incidents liés aux TIC
Le cadre CSSF de notification des incidents TIC qui remplace la 11/504 et articule DORA, la Loi SRI (NIS) et le règlement CSSF 24-
4 sections analysées →

Entité financière soumise à DORA et à ces circulaires ? Notre mandat CISO dédié au secteur financier couvre l'ensemble : gestion des risques TIC, registre des prestataires, plans de sortie, tests de résilience, dialogue CSSF.

Vous voulez savoir précisément ce qui s'applique à vous ?

Configurez votre devis en cochant les obligations qui vous concernent, nous revenons vers vous avec un plan d'action chiffré sous 24 h ouvrées.

Configurer mon devis →