Je dois mettre mon organisation luxembourgeoise en conformité à l'article 14 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 14 est l'angle mort des plans DORA. Les entités financieres luxembourgeoises construisent des plans de continuite techniques solides mais oublient la dimension communication : qui parlé aux clients quand le core banking est down 6 heures ? Qui repond au Luxemburger Wort qui appelle a 22h ? La CSSF sanctionné deux scénarios precis : l'absence de porte-parole nomme (article 14.3), et l'incohérence entre la notification réglementaire envoyee a la CSSF et le message public ou client, qui révélé un defaut de gouvernance de crise.Les trois pièges opérationnels sur l'article 14Confusion entre notification réglementaire et communication de crise : la notification CSSF sous 4 heures (article 19 DORA) n'est PAS un plan de communication. L'article 14 exige un dispositif distinct, oriente clients, contreparties et public.Porte-parole non désigné ou non forme : nommer le CEO par defaut ne suffit pas. Il faut une personne identifiée, joignable 24/7, formee au media training, avec des elements de langage pre-valides juridiquement.Segmentation interne absente : l'article 14.2 impose de distinguer le personnel opérationnel (qui géré l'incident en silence) du personnel a informer (qui doit savoir quoi dire si un client appelle). Sans matrice RACI communication, vos conseillers clientele improvisent et aggravent le risque reputationnel.Absence de templates pre-approuves : rédiger un communiqué de presse a chaud pendant un ransomware actif, c'est la garantie d'une fuite ou d'une formulation qui sera retournee contre vous lors d'un contentieux client.Comment Luxgap automatise ce risqueNotre Luxgap Crisis Communication Orchestrator transforme la communication de crise TIC en chaîne industrielle pre-validee : au lieu d'improviser sous pression, vos équipes déclenchent un scénario deja redige, deja valide juridiquement, deja segmente par audience. L'outil s'intégré nativement a Microsoft Teams, ServiceNow ITSM, votre CRM (Salesforce, Dynamics, Wealth Dynamix) et a vos canaux clients (email transactionnel, SMS, portail e-banking, push mobile) pour déclencher la bonne communication a la bonne audience au bon moment, des qu'un incident TIC majeur est qualifié.Detecte automatiquement le passage en incident majeur DORA via connexion a votre SIEM (Sentinel, Splunk, QRadar) et déclenche le runbook de communication correspondant.Genere en temps reel les communiqués segmentes par audience (clients retail, contreparties institutionnelles, régulateur CSSF, presse, personnel interne opérationnel vs. informe) à partir de templates pre-valides par votre juridique et conformité.Identifié le porte-parole de garde via planning rotatif, le joint par Teams/SMS/appel, et lui pousse les elements de langage horodates et la liste des questions probables avec réponses approuvees.Synchronise automatiquement le message public avec la notification réglementaire envoyee a la CSSF pour eliminer les divergences exploitables en contrôle ou en contentieux.Trace chaque co...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 14

Communication

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Communication

1. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, les entités financières mettent en place des plans de communication en situation de crise qui favorisent une divulgation responsable, au minimum, des incidents majeurs liés aux TIC ou des vulnérabilités majeures aux clients et aux contreparties ainsi qu’au public, le cas échéant.

2. Aux fins du cadre de gestion du risque lié aux TIC, les entités financières mettent en œuvre des politiques de communication à l’intention des membres du personnel interne et des parties prenantes externes. Les politiques de communication à l’intention du personnel tiennent compte de la nécessité d’établir une distinction entre le personnel participant à la gestion du risque lié aux TIC, en particulier le personnel responsable de la réponse et du rétablissement, et le personnel qui doit être informé.

3. Au moins une personne au sein de l’entité financière est chargée de mettre en œuvre la stratégie de communication concernant les incidents liés aux TIC et remplit la fonction d’information du public et des médias à cette fin.

Spécificité Luxembourg

Circulaire CSSF 24/847 relative a la notification des incidents TIC et de paiement

Au Luxembourg, la CSSF applique DORA depuis le 17 janvier 2025 et a publie la circulaire CSSF 24/847 sur la notification des incidents TIC qui s'articule directement avec l'article 14. La CSSF attend en pratique que le porte-parole désigné soit identifié nominativement dans la politique de gestion de crise transmise lors des inspections sur place, et que les communications publiques soient pre-validees par la fonction conformité avant diffusion. Pour les banques systemiques luxembourgeoises, le superviseur attend aussi une coordination avec la BCE via le mécanisme SSM.

Pratique Luxgap : nous recommandons de tester votre dispositif article 14 lors d'un exercice conjoint avec la cellule communication de la CSSF (qui accepte les sollicitations en amont) et de pre-rediger vos communiqués en FR, EN, DE et LU pour couvrir la realite linguistique de la place.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 14 est l'angle mort des plans DORA. Les entités financieres luxembourgeoises construisent des plans de continuite techniques solides mais oublient la dimension communication : qui parlé aux clients quand le core banking est down 6 heures ? Qui repond au Luxemburger Wort qui appelle a 22h ? La CSSF sanctionné deux scénarios precis : l'absence de porte-parole nomme (article 14.3), et l'incohérence entre la notification réglementaire envoyee a la CSSF et le message public ou client, qui révélé un defaut de gouvernance de crise.

Les trois pièges opérationnels sur l'article 14

Confusion entre notification réglementaire et communication de crise : la notification CSSF sous 4 heures (article 19 DORA) n'est PAS un plan de communication. L'article 14 exige un dispositif distinct, oriente clients, contreparties et public.
Porte-parole non désigné ou non forme : nommer le CEO par defaut ne suffit pas. Il faut une personne identifiée, joignable 24/7, formee au media training, avec des elements de langage pre-valides juridiquement.
Segmentation interne absente : l'article 14.2 impose de distinguer le personnel opérationnel (qui géré l'incident en silence) du personnel a informer (qui doit savoir quoi dire si un client appelle). Sans matrice RACI communication, vos conseillers clientele improvisent et aggravent le risque reputationnel.
Absence de templates pre-approuves : rédiger un communiqué de presse a chaud pendant un ransomware actif, c'est la garantie d'une fuite ou d'une formulation qui sera retournee contre vous lors d'un contentieux client.

Comment Luxgap automatise ce risque

Notre Luxgap Crisis Communication Orchestrator transforme la communication de crise TIC en chaîne industrielle pre-validee : au lieu d'improviser sous pression, vos équipes déclenchent un scénario deja redige, deja valide juridiquement, deja segmente par audience. L'outil s'intégré nativement a Microsoft Teams, ServiceNow ITSM, votre CRM (Salesforce, Dynamics, Wealth Dynamix) et a vos canaux clients (email transactionnel, SMS, portail e-banking, push mobile) pour déclencher la bonne communication a la bonne audience au bon moment, des qu'un incident TIC majeur est qualifié.

Detecte automatiquement le passage en incident majeur DORA via connexion a votre SIEM (Sentinel, Splunk, QRadar) et déclenche le runbook de communication correspondant.
Genere en temps reel les communiqués segmentes par audience (clients retail, contreparties institutionnelles, régulateur CSSF, presse, personnel interne opérationnel vs. informe) à partir de templates pre-valides par votre juridique et conformité.
Identifié le porte-parole de garde via planning rotatif, le joint par Teams/SMS/appel, et lui pousse les elements de langage horodates et la liste des questions probables avec réponses approuvees.
Synchronise automatiquement le message public avec la notification réglementaire envoyee a la CSSF pour eliminer les divergences exploitables en contrôle ou en contentieux.
Trace chaque communication envoyee (qui, quand, a qui, contenu exact) dans un journal cryptographiquement scelle, opposable a la CSSF pour démontrer la conformité article 14 lors d'une inspection.
Simule trimestriellement un exercice de crise communication (table-top automatise) et produit un rapport de maturite avec axes d'amelioration.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre réglementaire. Demandez votre demonstration et nos équipes preparent un exercice de crise blanc sur votre périmètre reel sous 48h, avec elements de langage pre-rediges, pour mesurer votre maturite communication avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Communication

Ils nous font confiance

Avant de discuter