DORA, la résilience numérique du secteur financier.

Qui est concerné ?

Toutes les entités financières au sens large : banques, sociétés d'investissement, gestionnaires d'actifs, OPCVM, FIA, EMF, EME, assureurs et réassureurs, intermédiaires en assurance, plateformes de financement participatif, prestataires de services sur crypto-actifs, dépositaires centraux, contreparties centrales, plateformes de négociation, agences de notation, prestataires de services de communication de données.

Et aussi : les prestataires tiers de services TIC critiques (cloud, datacenters, éditeurs SaaS clés). DORA s'applique à eux directement.

Obligations clés

• Cadre de gestion des risques ICT : gouvernance, identification des actifs critiques, protection, détection, réponse, récupération, apprentissage et évolution.
• Gestion, classification et notification des incidents ICT majeurs : notification initiale sous 4 heures après classification, rapport intermédiaire sous 72 h, rapport final sous 1 mois.
• Tests de résilience opérationnelle numérique : tests réguliers sur les systèmes critiques, et tests avancés (Threat-Led Penetration Testing, TLPT) tous les 3 ans pour les entités significatives.
• Gestion des risques liés aux tiers ICT : registre des prestataires, clauses contractuelles obligatoires, plans de sortie, surveillance continue, désignation des prestataires critiques avec supervision européenne directe.
• Partage d'informations sur les cybermenaces entre entités financières, sur la base du volontariat mais encouragé.

Échéances

DORA est applicable depuis le 17 janvier 2025. Pas de phase transitoire : les entités doivent être en conformité immédiatement. La CSSF a publié des circulaires d'application en 2024 et conduit des contrôles depuis le premier trimestre 2025.

Sanctions en cas de non-conformité

Sanctions administratives lourdes : jusqu'à 1 % du chiffre d'affaires journalier moyen pour chaque jour de manquement (avec un plafond de 6 mois). Pour les entités très grandes, cela peut représenter des montants colossaux.

Les sanctions CSSF se cumulent avec les amendes prévues par d'autres textes (RGPD, NIS 2 si applicable). En cas de manquement grave, retrait d'agrément possible.

Comment Luxgap vous aide

Notre mandat CISO couvre l'intégralité du périmètre DORA, avec une équipe dédiée aux exigences sectorielles. Notre plan de continuité (BCP) est aligné sur les exigences DORA et ISO 22301. Nous réalisons aussi des tests TLPT en partenariat avec des testeurs habilités.

Pour le registre des tiers ICT, nos juristes rédigent les clauses contractuelles conformes et nos ingénieurs surveillent la chaîne d'approvisionnement.