Le piège classique
L'article 4 fixe une date d'application avec effet immediat au 9 avril 2025, sans période transitoire. C'est exactement la ou les entités surveillees se piegent : elles raisonnent comme si elles disposaient d'un délai de remédiation, alors que la CSSF considere le socle 20/750 modifie, aligne sur DORA, comme opposable des sa publication. En cas de contrôle ou de notification d'incident, l'absence de mise à jour immediate du dispositif de gestion des risques TIC est traitée comme un manquement actuel, pas comme un chantier en cours. La CSSF sanctionne la passivite réglementaire : ne pas avoir trace la transition entre l'ancien et le nouveau référentiel.
Pourquoi "effet immediat" est un piège opérationnel
Une circulaire d'application immediate impose une preuve datee que votre cadre interne a integre les nouvelles exigences. Concretement, vous devez démontrer a la CSSF :
- Que votre politique de gestion des risques TIC a ete revisee et reapprouvee par l'organe de direction après le 9 avril 2025.
- Que la cartographie des fonctions critiques ou importantes et des prestataires TIC a ete realignee sur le vocabulaire et le périmètre DORA.
- Que votre registre d'information sur les accords contractuels TIC est conforme au modèle attendu sous DORA.
- Que le délai de notification des incidents majeurs et le seuil de classification ont ete recalibres.
- Que la difference entre l'ancien socle 20/750 et le socle modifie a ete documentee dans un registre de conformité horodate, opposable lors d'un contrôle.
Le risque n'est pas théorique : la CSSF attend une tracabilite de la bascule, pas une simple affirmation que "tout est conforme".
Comment Luxgap automatise ce risque
Notre Luxgap Regulatory Effective-Date Tracker rend impossible l'angle mort de l'application immediate : il transforme chaque circulaire CSSF en un plan de remédiation date et opposable, des sa publication. L'outil surveille en continu le flux de publication de la CSSF, detecte les circulaires modificatives (comme la 25/881 modifiant la 20/750) et croise leur contenu avec votre dispositif interne stocke dans M365, SharePoint et votre GED, pour materialiser instantanement les ecarts a combler.
- Detecte automatiquement chaque nouvelle circulaire CSSF et sa date d'effet, puis alerte votre RSSI et votre conformité via Teams le jour même de la publication.
- Compare le texte de la circulaire modificative avec la version anterieure et genere un differentiel clause par clause des nouvelles obligations introduites par l'alignement DORA.
- Classifie chaque exigence (politique a revoir, registre a mettre à jour, seuil de notification a recalibrer) et l'affecte a un responsable avec une echeance.
- Verifie que votre politique de gestion des risques TIC porté bien une date de reapprobation posterieure a la date d'effet et alerte si l'organe de direction n'a pas formellement visé la mise à jour.
- Produit un rapport PDF horodate, opposable a la CSSF lors d'un contrôle, qui démontré la tracabilite complète de la bascule entre l'ancien et le nouveau référentiel.
Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre dispositif reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.