Je dois mettre mon organisation luxembourgeoise en conformité à l'article 1 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 1er n'est pas qu'une déclaration d'intention : il fixe le périmètre matériel de DORA et, surtout, son paragraphe 2 déclenche la lex specialis face a NIS 2. Les entités financieres luxembourgeoises (banques CSSF, fintechs, PSF de support, gestionnaires AIFM, entreprises d'assurance CAA) se croient souvent soumises a la fois a DORA et a NIS 2 sur le volet cyber, et empilent deux gouvernances paralleles. C'est faux : DORA prime comme acte sectoriel de l'Union. La CSSF sanctionné au contraire les entités qui sous-estiment le périmètre des six piliers (gestion des risques TIC, notification d'incidents, tests de résilience, partagé d'informations, gestion des tiers, contrats), et qui ne couvrent pas l'intégralité de la chaîne d'externalisation TIC.Le piège spécifique luxembourgeois : la frontière DORA / NIS 2Au Luxembourg, une banque CSSF, une compagnie d'assurance CAA, un PSF, un gestionnaire de fonds, un EMI ou un prestataire de paiement relevé exclusivement de DORA pour la résilience opérationnelle numérique, et non de la loi du 26 juillet 2023 transposant NIS 2 (article 4 de la directive (UE) 2022/2555). En revanche :Une holding luxembourgeoise non régulée CSSF/CAA reste sous NIS 2 si elle remplit les critères d'entité essentielle ou importante.Un prestataire tiers TIC critique désigné par les ESAs (cloud, datacenter eBRC/LuxConnect, editeur core banking) bascule sous le cadre de supervision DORA, en plus de NIS 2.Les fonctions essentielles de l'état (défense, sécurité nationale, sécurité publique) sont expressement préservées par l'article 1(3) : DORA ne s'applique pas a un ministere même s'il manipule des données financieres.Une succursale luxembourgeoise d'un groupe extra-UE est soumise a DORA des qu'elle est agréée CSSF, independamment de la localisation de la maison mere.La conséquence pratique : votre cartographie réglementaire doit qualifier chaque entité juridique du groupe selon son statut CSSF/CAA, et non globaliser au niveau du groupe. Un mismatch entre une SOPARFI faitiere (NIS 2) et sa filiale bancaire (DORA) est frequent et exposé a une double non-conformite.Comment Luxgap automatise ce risqueNotre Luxgap DORA Scope Mapper ferme le sujet en 48 heures : il determine automatiquement, pour chaque entité juridique de votre groupe, si elle relevé de DORA, de NIS 2, des deux ou d'aucune, et produit la cartographie réglementaire opposable a la CSSF. L'outil croise le registre RCS luxembourgeois, la liste publique des entités agréées CSSF, le registre CAA, le registre des FSP et les codes NACE pour qualifier chaque entité selon les articles 1 et 2 de DORA, sans demander au responsable conformité de remplir un tableur.Identifié automatiquement chaque entité légale de votre groupe via intégration au RCS Luxembourg et qualifié son statut (banque, EMI, FSP, AIFM, assureur, intermédiaire, hors champ).Croise la liste CSSF des entités agréées et le registre CAA pour determiner l'application de DORA versus NIS 2 (loi du...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 1

Objet

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Objet

1. Pour atteindre un niveau commun élevé de résilience opérationnelle numérique, le présent règlement définit les exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières, comme suit:

les exigences applicables aux entités financières en ce qui concerne:

i)	la gestion des risques liés aux technologies de l’information et de la communication (TIC);

ii)	la notification, aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes;

iii)	la notification aux autorités compétentes, par les entités financières visées à l’article 2, paragraphe 1, points a) à d), des incidents opérationnels ou de sécurité majeurs liés au paiement;

iv)	les tests de résilience opérationnelle numérique;

v)	le partage d’informations et de renseignements en rapport avec les cybermenaces et les cybervulnérabilités;

vi)	les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC;

b)	les exigences relatives aux accords contractuels conclus entre des prestataires tiers de services TIC et des entités financières;

c)	les règles relatives à l’établissement du cadre de supervision applicable aux prestataires tiers critiques de services TIC lorsqu’ils fournissent des services à des entités financières, ainsi que celles liées à l’exercice des tâches dans ce cadre;

d)	les règles relatives à la coopération entre les autorités compétentes, et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.

2. S’agissant des entités financières identifiées en tant qu’entités essentielles ou importantes conformément aux dispositions nationales transposant l’article 3 de la directive (UE) 2022/2555, le présent règlement est considéré comme un acte juridique sectoriel de l’Union aux fins de l’article 4 de ladite directive.

3. Le présent règlement est sans préjudice de la responsabilité des États membres pour ce qui est des fonctions essentielles de l’État en matière de sécurité publique, de défense et de sécurité nationale conformément au droit de l’Union.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, l'autorité competente DORA pour les entités du secteur financier est la CSSF (banques, PSF, EMI, gestionnaires AIFM/OPCVM, prestataires de paiement), et le Commissariat aux Assurances (CAA) pour les entreprises d'assurance et de reassurance et les intermediaires d'assurance. La loi du 1er aout 2024 portant mise en oeuvre du règlement DORA désigné ces deux autorités et articule DORA avec la loi du 1er aout 2018 sur le secteur financier ainsi qu'avec la loi du 26 juillet 2023 transposant NIS 2 (qui ne s'applique pas aux entités financieres DORA).

Pratique Luxgap : verifiez qu'aucune entité de votre groupe n'est doublement notifiée CSSF (DORA) et ILR/HCPN (NIS 2) ; nous cartographions le perimetre exact entité par entité et alignons les canaux de notification d'incidents pour eviter la double déclaration.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 1er n'est pas qu'une déclaration d'intention : il fixe le périmètre matériel de DORA et, surtout, son paragraphe 2 déclenche la lex specialis face a NIS 2. Les entités financieres luxembourgeoises (banques CSSF, fintechs, PSF de support, gestionnaires AIFM, entreprises d'assurance CAA) se croient souvent soumises a la fois a DORA et a NIS 2 sur le volet cyber, et empilent deux gouvernances paralleles. C'est faux : DORA prime comme acte sectoriel de l'Union. La CSSF sanctionné au contraire les entités qui sous-estiment le périmètre des six piliers (gestion des risques TIC, notification d'incidents, tests de résilience, partagé d'informations, gestion des tiers, contrats), et qui ne couvrent pas l'intégralité de la chaîne d'externalisation TIC.

Le piège spécifique luxembourgeois : la frontière DORA / NIS 2

Au Luxembourg, une banque CSSF, une compagnie d'assurance CAA, un PSF, un gestionnaire de fonds, un EMI ou un prestataire de paiement relevé exclusivement de DORA pour la résilience opérationnelle numérique, et non de la loi du 26 juillet 2023 transposant NIS 2 (article 4 de la directive (UE) 2022/2555). En revanche :

Une holding luxembourgeoise non régulée CSSF/CAA reste sous NIS 2 si elle remplit les critères d'entité essentielle ou importante.
Un prestataire tiers TIC critique désigné par les ESAs (cloud, datacenter eBRC/LuxConnect, editeur core banking) bascule sous le cadre de supervision DORA, en plus de NIS 2.
Les fonctions essentielles de l'état (défense, sécurité nationale, sécurité publique) sont expressement préservées par l'article 1(3) : DORA ne s'applique pas a un ministere même s'il manipule des données financieres.
Une succursale luxembourgeoise d'un groupe extra-UE est soumise a DORA des qu'elle est agréée CSSF, independamment de la localisation de la maison mere.

La conséquence pratique : votre cartographie réglementaire doit qualifier chaque entité juridique du groupe selon son statut CSSF/CAA, et non globaliser au niveau du groupe. Un mismatch entre une SOPARFI faitiere (NIS 2) et sa filiale bancaire (DORA) est frequent et exposé a une double non-conformite.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Scope Mapper ferme le sujet en 48 heures : il determine automatiquement, pour chaque entité juridique de votre groupe, si elle relevé de DORA, de NIS 2, des deux ou d'aucune, et produit la cartographie réglementaire opposable a la CSSF. L'outil croise le registre RCS luxembourgeois, la liste publique des entités agréées CSSF, le registre CAA, le registre des FSP et les codes NACE pour qualifier chaque entité selon les articles 1 et 2 de DORA, sans demander au responsable conformité de remplir un tableur.

Identifié automatiquement chaque entité légale de votre groupe via intégration au RCS Luxembourg et qualifié son statut (banque, EMI, FSP, AIFM, assureur, intermédiaire, hors champ).
Croise la liste CSSF des entités agréées et le registre CAA pour determiner l'application de DORA versus NIS 2 (loi du 26 juillet 2023).
Detecte les chevauchements DORA / NIS 2 / RGPD / loi du 1er aout 2018 sur le secteur financier et alerte sur les obligations doublons.
Cartographie la chaîne d'externalisation TIC (Odoo, M365, Azure, AWS, eBRC, LuxConnect, core banking Temenos/Avaloq) et identifié les prestataires tiers TIC potentiellement critiques au sens des ESAs.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle CSSF, qui démontré la qualification réglementaire de chaque entité et la couverture des six piliers DORA.
Reevalue automatiquement le périmètre des qu'un nouvel agrement CSSF est obtenu, qu'une filiale est creee ou qu'un nouveau prestataire TIC est intégré.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos entités reelles, avec un audit blanc gratuit sous 48h pour materialiser votre exposition DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Objet

Ils nous font confiance

Avant de discuter