Le piège classique
L'article 1 fixe le périmètre de DORA et contient une bombe a retardement souvent ignoree : le paragraphe 2. Beaucoup d'entités financieres luxembourgeoises ont engage en parallele une mise en conformité NIS 2 et une mise en conformité DORA, en dupliquant les chantiers et les budgets. Or DORA est lex specialis : pour les entités financieres qualifiées d'essentielles ou importantes au sens de la directive (UE) 2022/2555, DORA prime comme acte sectoriel de l'Union (art. 4 NIS 2). La CSSF sanctionne moins le périmètre théorique que l'incohérence opérationnelle : une entité qui applique le mauvais référentiel, qui notifie au mauvais guichet, ou qui ne sait pas démontrer quel cadre s'applique a chaque processus.
Le test du bon référentiel, processus par processus
Le piège de l'article 1 n'est pas binaire. Une même entité peut relever de DORA pour ses systèmes financiers et conserver d'autres obligations residuelles. Avant tout chantier, il faut trancher :
- Etes-vous une entité financiere au sens de l'article 2 (établissement de crédit, entreprise d'investissement, EMI, FSP, AIFM, OPCVM, assurance, intermédiaire) ? Si oui, DORA s'applique de plein droit.
- Etes-vous aussi qualifié d'entité essentielle ou importante par les règles nationales transposant NIS 2 ? Si oui, DORA prime comme acte sectoriel et evite la double application des obligations TIC.
- Vos six piliers sont-ils couverts : gestion des risques TIC, notification des incidents majeurs, tests de résilience, risque tiers TIC, accords contractuels, partagé d'informations ?
- Vos circulaires CSSF (20/750 modifiee par 25/881, 22/806 modifiee par 25/883, 25/882) sont-elles relues a la lumiere de DORA et non à côté ?
- Savez-vous identifier, pour chaque incident, le bon guichet de notification (CSSF) et la bonne base juridique (DORA, RGPD pour les violations de données) ?
Sans cette cartographie de prevalence, vous risquez le double chantier coûteux ou, pire, l'angle mort ou aucun référentiel n'est correctement applique.
Comment Luxgap automatise ce risque
Notre Luxgap Scope Resolver rend impossible l'erreur de périmètre en tranchant automatiquement quel référentiel prime sur chacun de vos processus opérationnels. Un agent IA spécialisé lit votre statut CSSF, votre registre d'activités et la cartographie de vos systèmes pour qualifier votre entité au sens de l'article 2 DORA, vérifier votre eventuelle qualification NIS 2, et appliquer la règle de prevalence de l'article 1(2) processus par processus, sans chantier de conformité redondant.
- Qualifié automatiquement votre entité au regard de l'article 2 DORA en croisant votre agrement CSSF et votre nomenclature d'activités réglementées.
- Detecte les chevauchements avec NIS 2 et applique la règle lex specialis de l'article 1(2) pour eliminer les obligations TIC en doublon.
- Cartographie vos six piliers DORA et les relie aux circulaires CSSF 20/750, 22/806 et 25/882 deja en vigueur dans votre organisation.
- Genere une matrice de prevalence horodatee qui indique, pour chaque processus, le référentiel applicable et le guichet de notification competent.
- Produit un rapport PDF scelle, opposable a la CSSF lors d'un contrôle, demontrant que votre périmètre de conformité est defini et justifie.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.