DORA, la résilience numérique du secteur financier.

Qui est concerné ?

Toutes les entités financières au sens large : banques, sociétés d'investissement, gestionnaires d'actifs, OPCVM, FIA, EMF, EME, assureurs et réassureurs, intermédiaires en assurance, plateformes de financement participatif, prestataires de services sur crypto-actifs, dépositaires centraux, contreparties centrales, plateformes de négociation, agences de notation, prestataires de services de communication de données.

Et aussi : les prestataires tiers de services TIC critiques (cloud, datacenters, éditeurs SaaS clés). DORA s'applique à eux directement.

Obligations clés

• Cadre de gestion des risques ICT : gouvernance, identification des actifs critiques, protection, détection, réponse, récupération, apprentissage et évolution.
• Gestion, classification et notification des incidents ICT majeurs : notification initiale sous 4 heures après classification, rapport intermédiaire sous 72 h, rapport final sous 1 mois.
• Tests de résilience opérationnelle numérique : tests réguliers sur les systèmes critiques, et tests avancés (Threat-Led Penetration Testing, TLPT) tous les 3 ans pour les entités significatives.
• Gestion des risques liés aux tiers ICT : registre des prestataires, clauses contractuelles obligatoires, plans de sortie, surveillance continue, désignation des prestataires critiques avec supervision européenne directe.
• Partagé d'informations sur les cybermenaces entre entités financières, sur la base du volontariat mais encouragé.

Échéances

DORA est applicable depuis le 17 janvier 2025. Pas de phase transitoire : les entités doivent être en conformité immédiatement. La CSSF a publié des circulaires d'application en 2024 et conduit des contrôles depuis le premier trimestre 2025.

Sanctions en cas de non-conformité

Sanctions administratives lourdes : jusqu'à 1 % du chiffre d'affaires journalier moyen pour chaque jour de manquement (avec un plafond de 6 mois). Pour les entités très grandes, cela peut représenter des montants colossaux.

Les sanctions CSSF se cumulent avec les amendes prévues par d'autres textes (RGPD, NIS 2 si applicable). En cas de manquement grave, retrait d'agrément possible.

Comment Luxgap vous aide

Notre mandat CISO couvre l'intégralité du périmètre DORA, avec une équipe dédiée aux exigences sectorielles. Notre plan de continuité (BCP) est aligné sur les exigences DORA et ISO 22301. Nous réalisons aussi des tests TLPT en partenariat avec des testeurs habilités.

Pour le registre des tiers ICT, nos juristes rédigent les clauses contractuelles conformes et nos ingénieurs surveillent la chaîne d'approvisionnement.

L'écosystème réglementaire DORA, sans le brouillard

DORA ne vit pas seul : c'est un règlement-cadre complété par des normes techniques (RTS) et articulé avec le droit luxembourgeois. Voici la cartographie complète que nous maîtrisons :

• DORA est lex specialis pour le secteur financier : pour les entités qu'il couvre, il prime sur NIS 2 en matière de gestion des risques TIC et de notification d'incidents (article 1 DORA).
• Tests de pénétration (TLPT) : précisés par le règlement délégué (UE) 2025/1190, mis en œuvre au Luxembourg via le cadre TIBER-LU (BCL + CSSF).
• Sous-traitance TIC : précisée par le RTS (UE) 2025/532 sur les services TIC supportant des fonctions critiques.
• Externalisation : la circulaire CSSF 22/806, modifiée par la CSSF 25/883 pour s'aligner sur DORA.
• Services TIC tiers : la circulaire CSSF 25/882 donne les instructions pratiques de la CSSF.
• Gestion des risques TIC : la circulaire CSSF 20/750, modifiée par la CSSF 25/881.
• Violations de données : articulation avec le RGPD lorsqu'un incident TIC exposé des données personnelles (double notification CSSF + CNPD).