Je dois mettre mon organisation luxembourgeoise en conformité à l'article 20 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 20 est souvent percu comme un article technique destine aux seules autorités européennes (AES). C'est une erreur d'analyse. Il fixe en réalité le format obligatoire dans lequel votre établissement devra notifier a la CSSF tout incident TIC majeur, via le Regulement délégué (UE) 2024/1772 et le Regulement d'exécution (UE) 2024/2956. La CSSF sanctionné deja les notifications incompletes ou hors délai : rapport initial sous 4 heures après classification (et au plus tard 24 heures après détection), rapport intermédiaire sous 72 heures, rapport final sous 1 mois. Un champ manquant ou un délai depasse exposé a une injonction de mise en conformité et a une sanction pecuniaire pouvant atteindre 1% du chiffre d'affaires journalier moyen.Les pièges en pratique sur le terrain luxembourgeoisLe délai de 4 heures court depuis la classification, pas depuis la détection : si votre processus de triage prend 6 heures, vous êtes deja hors délai.Le formulaire harmonise compte plus de 60 champs obligatoires (impact clients, perte de données, criticite des services affectes, cause racine presumee, contagion intra-groupe) : impossible a remplir manuellement sous pression a 3h du matin.Le critère de pertinence transfrontalière (point a)(i)) déclenche une notification multi-autorites : CSSF + autorités des autres états membres ou vous operez en libre prestation de services.La distinction incident opérationnel vs incident de paiement change le destinataire et le contenu : un EMI ou un PSP doit basculer sur le canal paiement spécifique.Les cybermenaces importantes (point a)(iii)) suivent un canal volontaire distinct, mais une non-notification d'une menacé matérielle peut être reprochee a posteriori en cas d'incident effectif.Comment Luxgap automatise ce risqueNotre Luxgap Incident Report Autopilot transforme le marathon de notification CSSF en un workflow qui demarre tout seul des qu'un incident est classifie majeur, et qui livre les trois rapports (initial, intermédiaire, final) au format ITS 2024/2956 sans qu'un analyste ait a rouvrir le PDF du régulateur. L'outil se connecte nativement a Microsoft Sentinel, CrowdStrike Falcon, Splunk, votre ITSM (ServiceNow, Jira Service Management) et votre CMDB pour pre-remplir automatiquement les 60+ champs harmonises à partir des telemetries reelles, sans ressaisie.Déclenche automatiquement le chrono des 4h / 72h / 1 mois des qu'un incident franchit les seuils article 18, avec compteurs visibles par la direction et le RSSI.Pre-remplit le formulaire ITS harmonise (impact clients, services critiques affectes, perte de données, cause racine, mesures de remédiation) en aspirant les données de votre SIEM, CMDB et registre TIC article 8.Detecte automatiquement la pertinence transfrontalière en croisant vos passeports européens et la localisation des clients impactes, et genere les notifications paralleles vers les autorités des autres états membres.Bascule automatiquement sur le canal paiement (incidents PSD...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 20

Harmonisation du contenu et des modèles des rapports de notification

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Harmonisation du contenu et des modèles des rapports de notification

Les AES, agissant par l’intermédiaire du comité mixte et en concertation avec l’ENISA et la BCE, élaborent:

des projets communs de normes techniques de réglementation dans le but:

de définir le contenu des rapports relatifs aux incidents majeurs liés aux TIC afin de refléter les critères énoncés à l’article 18, paragraphe 1, et d’intégrer d’autres éléments, tels que des détails permettant de déterminer la pertinence de la notification pour les autres États membres et s’il s’agit d’un incident opérationnel ou de sécurité majeur lié au paiement;

ii)	de fixer les délais pour la notification initiale et pour chaque rapport visé à l’article 19, paragraphe 4;

iii)	d’établir le contenu de la notification en ce qui concerne les cybermenaces importantes.

Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, et en particulier en vue de garantir que, aux fins du point a) ii), du présent alinéa, différents délais puissent refléter, le cas échéant, les spécificités des secteurs financiers, sans préjudice du maintien d’une approche cohérente de la notification des incidents liés aux TIC en application du présent règlement et de la directive (UE) 2022/2555. Les AES fournissent, le cas échéant, une justification lorsqu’elles s’écartent des approches adoptées dans le cadre de ladite directive;

b)	des projets communs de normes techniques d’exécution afin de définir les formulaires, les modèles et les procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante.

Les AES soumettent à la Commission les projets communs de normes techniques de réglementation visés au premier alinéa, point a), et les projets communs de normes techniques d’exécution visés au premier alinéa, point b), au plus tard le 17 juillet 2024.

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation communes visées au premier alinéa, point a), est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Le pouvoir d’adopter les normes techniques d’exécution communes visées au premier alinéa, point b), est conféré à la Commission conformément à l’article 15 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Spécificité Luxembourg

CSSF Circulaire 24/847 relative aux exigences de notification DORA

Au Luxembourg, la CSSF est l'autorité competente unique pour recevoir les notifications DORA des entités financieres supervisees (banques, PSF, EMI, PSP, OPCVM, AIFM, entreprises d'assurance via le CAA pour le secteur assurantiel). La CSSF a publie en 2024 sa circulaire 24/847 qui précisé les modalites opérationnelles : canal de notification via le portail eDesk CSSF, point de contact 24/7 obligatoire, et coordination automatique avec la BCL pour les incidents de paiement systemiques. Cette circulaire confirme l'application directe des délais ITS (4h / 72h / 1 mois) sans amenagement national.

Pratique Luxgap : configurez des aujourd'hui votre connecteur eDesk CSSF et nommez formellement un point de contact 24/7 (avec backup) ; la CSSF teste régulièrement la joignabilite de ce point de contact lors de ses contrôles thematiques sur la résilience opérationnelle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 20 est souvent percu comme un article technique destine aux seules autorités européennes (AES). C'est une erreur d'analyse. Il fixe en réalité le format obligatoire dans lequel votre établissement devra notifier a la CSSF tout incident TIC majeur, via le Regulement délégué (UE) 2024/1772 et le Regulement d'exécution (UE) 2024/2956. La CSSF sanctionné deja les notifications incompletes ou hors délai : rapport initial sous 4 heures après classification (et au plus tard 24 heures après détection), rapport intermédiaire sous 72 heures, rapport final sous 1 mois. Un champ manquant ou un délai depasse exposé a une injonction de mise en conformité et a une sanction pecuniaire pouvant atteindre 1% du chiffre d'affaires journalier moyen.

Les pièges en pratique sur le terrain luxembourgeois

Le délai de 4 heures court depuis la classification, pas depuis la détection : si votre processus de triage prend 6 heures, vous êtes deja hors délai.
Le formulaire harmonise compte plus de 60 champs obligatoires (impact clients, perte de données, criticite des services affectes, cause racine presumee, contagion intra-groupe) : impossible a remplir manuellement sous pression a 3h du matin.
Le critère de pertinence transfrontalière (point a)(i)) déclenche une notification multi-autorites : CSSF + autorités des autres états membres ou vous operez en libre prestation de services.
La distinction incident opérationnel vs incident de paiement change le destinataire et le contenu : un EMI ou un PSP doit basculer sur le canal paiement spécifique.
Les cybermenaces importantes (point a)(iii)) suivent un canal volontaire distinct, mais une non-notification d'une menacé matérielle peut être reprochee a posteriori en cas d'incident effectif.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Report Autopilot transforme le marathon de notification CSSF en un workflow qui demarre tout seul des qu'un incident est classifie majeur, et qui livre les trois rapports (initial, intermédiaire, final) au format ITS 2024/2956 sans qu'un analyste ait a rouvrir le PDF du régulateur. L'outil se connecte nativement a Microsoft Sentinel, CrowdStrike Falcon, Splunk, votre ITSM (ServiceNow, Jira Service Management) et votre CMDB pour pre-remplir automatiquement les 60+ champs harmonises à partir des telemetries reelles, sans ressaisie.

Déclenche automatiquement le chrono des 4h / 72h / 1 mois des qu'un incident franchit les seuils article 18, avec compteurs visibles par la direction et le RSSI.
Pre-remplit le formulaire ITS harmonise (impact clients, services critiques affectes, perte de données, cause racine, mesures de remédiation) en aspirant les données de votre SIEM, CMDB et registre TIC article 8.
Detecte automatiquement la pertinence transfrontalière en croisant vos passeports européens et la localisation des clients impactes, et genere les notifications paralleles vers les autorités des autres états membres.
Bascule automatiquement sur le canal paiement (incidents PSD2 article 96) si votre entité est PSP, EMI ou établissement de crédit avec services de paiement.
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une inspection CSSF, qui démontré le respect strict des délais réglementaires.
Archive l'intégralité des notifications dans un registre incident conforme article 17, pret pour audit annuel ou demande de communication de la CSSF.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur un scénario d'incident réaliste tire de votre architecture, avec un audit blanc gratuit sous 48h pour mesurer votre délai reel de notification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Harmonisation du contenu et des modèles des rapports de notification

Ils nous font confiance

Avant de discuter