Je dois mettre mon organisation luxembourgeoise en conformité à l'article 21 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 21 n'impose pas d'obligation directe aux entités financières : il mandate les AES (EBA, ESMA, EIOPA) pour évaluer la création d'un EU Hub unique de notification des incidents majeurs. Le piège n'est donc pas une sanction immédiate de la CSSF, mais une fausse sécurité : beaucoup d'entités financières luxembourgeoises pensent qu'un canal unique va simplifier leur vie demain, et négligent aujourd'hui la préparation de leurs flux de notification multiples (CSSF au titre de DORA, CNPD au titre du RGPD, ILR au titre de NIS 2 si entité hybride, BCE au titre du SSM pour les banques significatives). Quand le Hub arrivera, seules les entités qui auront déjà structuré leurs données d'incident de manière interopérable pourront y brancher leur reporting sans refonte coûteuse.Anticiper la convergence : ce que la CSSF regardera dès 2025Le rapport conjoint des AES est attendu au 17 janvier 2025 et préfigure la trajectoire réglementaire. Les entités financières luxembourgeoises ont intérêt à structurer dès maintenant leur reporting d'incidents selon les axes suivants :Format de données normalisé aligné sur les RTS DORA (taxonomie d'incident, classification de la criticité, horodatage standardisé).Interopérabilité native avec les schémas existants : CSSF Circulaire 24/847, notifications RGPD à 72h, notifications NIS 2 à 24h/72h, reporting BCE SSM Cyber Incident Reporting Framework.Traçabilité cryptographique des notifications envoyées (qui, quand, à quelle autorité, avec quel contenu) pour démontrer l'accountability en cas de contrôle croisé.Capacité à produire la même notification dans plusieurs formats (CSSF, BCE, CNPD) sans ressaisie manuelle.Concentration des informations sensibles : préparer dès aujourd'hui une politique de classification des données d'incident, car le futur Hub centralisera des informations très convoitées.Comment Luxgap automatise ce risqueNotre Luxgap Incident Reporting Orchestrator transforme votre processus de notification multi-autorités en un flux unique, déclaratif, prêt à se brancher au futur EU Hub dès son ouverture. L'outil agrège en temps réel les signaux de vos SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon), de votre ITSM (ServiceNow, Jira) et de votre core banking pour reconstituer automatiquement la chronologie d'un incident majeur au sens DORA, sans demander à votre RSSI de remplir trois formulaires différents.Classifie automatiquement chaque incident selon la taxonomie DORA (criticité, clients impactés, durée, perte de données) en s'appuyant sur les seuils des RTS du JC 2023/83.Génère en parallèle les notifications CSSF au format Circulaire 24/847, CNPD au format article 33 RGPD, ILR au format NIS 2 et BCE SSM, à partir d'une saisie unique.Détecte les incidents susceptibles de dépasser les seuils DORA dans les 4 heures suivant leur détection, avec alerte Teams instantanée au DPO et au RSSI.Produit un dossier d'incident horodaté et scellé cryptographiquement, opposable à la CSSF lor...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 21

Centralisation des notifications d’incidents majeurs liés aux TIC

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Centralisation des notifications d’incidents majeurs liés aux TIC

1. Les AES, agissant par l’intermédiaire du comité mixte, et en consultation avec la BCE et l’ENISA, élaborent un rapport conjoint qui évalue la possibilité de renforcer la centralisation des notifications d’incidents par la création d’une plateforme unique de l’Union pour la notification des incidents majeurs liés aux TIC par les entités financières. Le rapport conjoint étudie les moyens de faciliter le flux des notifications d’incidents liés aux TIC, de réduire les coûts connexes et d’étayer les analyses thématiques en vue de renforcer la convergence en matière de surveillance.

2. Le rapport conjoint visé au paragraphe 1 comprend au moins les éléments suivants:

a)	les conditions préalables à la création de cette plateforme unique de l’Union;

b)	les avantages, les limites et les risques, y compris les risques associés à la concentration élevée d’informations sensibles;

c)	la capacité nécessaire pour assurer l’interopérabilité au regard d’autres mécanismes de notification pertinents;

d)	les aspects de la gestion opérationnelle;

e)	les conditions de participation;

f)	les modalités techniques d’accès des entités financières et des autorités nationales compétentes à la plateforme unique de l’Union;

g)	une évaluation préliminaire des coûts financiers engendrés par la mise en place de la plateforme opérationnelle qui soutiendra la plateforme unique de l’Union, y compris l’expertise requise.

3. Les AES remettent le rapport visé au paragraphe 1 au Parlement européen, au Conseil et à la Commission au plus tard le 17 janvier 2025.

Spécificité Luxembourg

Circulaire CSSF 24/847 relative au cadre de notification des incidents ICT et au cadre DORA

Au Luxembourg, la CSSF est l'autorité compétente pour les notifications d'incidents majeurs au titre de DORA, et elle a déjà aligné sa Circulaire CSSF 24/847 sur le cadre DORA pour le secteur financier. Tant que le Hub unique de l'Union n'est pas opérationnel, les entités financières luxembourgeoises notifient via le portail eDesk de la CSSF, en parallèle des éventuelles notifications CNPD (RGPD), ILR (NIS 2 pour activités hybrides) et BCE SSM (banques significatives).

Pratique Luxgap : préparez dès aujourd'hui un mapping de vos canaux de notification CSSF eDesk, CNPD MyGuichet et ILR, afin que la bascule vers le futur Hub UE se fasse par simple ajout de connecteur, sans refondre vos procédures internes.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 21 n'impose pas d'obligation directe aux entités financières : il mandate les AES (EBA, ESMA, EIOPA) pour évaluer la création d'un EU Hub unique de notification des incidents majeurs. Le piège n'est donc pas une sanction immédiate de la CSSF, mais une fausse sécurité : beaucoup d'entités financières luxembourgeoises pensent qu'un canal unique va simplifier leur vie demain, et négligent aujourd'hui la préparation de leurs flux de notification multiples (CSSF au titre de DORA, CNPD au titre du RGPD, ILR au titre de NIS 2 si entité hybride, BCE au titre du SSM pour les banques significatives). Quand le Hub arrivera, seules les entités qui auront déjà structuré leurs données d'incident de manière interopérable pourront y brancher leur reporting sans refonte coûteuse.

Anticiper la convergence : ce que la CSSF regardera dès 2025

Le rapport conjoint des AES est attendu au 17 janvier 2025 et préfigure la trajectoire réglementaire. Les entités financières luxembourgeoises ont intérêt à structurer dès maintenant leur reporting d'incidents selon les axes suivants :

Format de données normalisé aligné sur les RTS DORA (taxonomie d'incident, classification de la criticité, horodatage standardisé).
Interopérabilité native avec les schémas existants : CSSF Circulaire 24/847, notifications RGPD à 72h, notifications NIS 2 à 24h/72h, reporting BCE SSM Cyber Incident Reporting Framework.
Traçabilité cryptographique des notifications envoyées (qui, quand, à quelle autorité, avec quel contenu) pour démontrer l'accountability en cas de contrôle croisé.
Capacité à produire la même notification dans plusieurs formats (CSSF, BCE, CNPD) sans ressaisie manuelle.
Concentration des informations sensibles : préparer dès aujourd'hui une politique de classification des données d'incident, car le futur Hub centralisera des informations très convoitées.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Reporting Orchestrator transforme votre processus de notification multi-autorités en un flux unique, déclaratif, prêt à se brancher au futur EU Hub dès son ouverture. L'outil agrège en temps réel les signaux de vos SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon), de votre ITSM (ServiceNow, Jira) et de votre core banking pour reconstituer automatiquement la chronologie d'un incident majeur au sens DORA, sans demander à votre RSSI de remplir trois formulaires différents.

Classifie automatiquement chaque incident selon la taxonomie DORA (criticité, clients impactés, durée, perte de données) en s'appuyant sur les seuils des RTS du JC 2023/83.
Génère en parallèle les notifications CSSF au format Circulaire 24/847, CNPD au format article 33 RGPD, ILR au format NIS 2 et BCE SSM, à partir d'une saisie unique.
Détecte les incidents susceptibles de dépasser les seuils DORA dans les 4 heures suivant leur détection, avec alerte Teams instantanée au DPO et au RSSI.
Produit un dossier d'incident horodaté et scellé cryptographiquement, opposable à la CSSF lors d'un contrôle, qui démontre le respect des délais de notification initiale, intermédiaire et finale.
Prépare l'export futur vers l'EU Hub via un schéma de données déjà aligné sur les travaux des AES et de l'ENISA.
Calcule en continu votre exposition réglementaire cumulée (nombre d'incidents majeurs sur 12 mois glissants) pour anticiper un éventuel pilier oversight renforcé.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos données réelles, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Centralisation des notifications d’incidents majeurs liés aux TIC

Ils nous font confiance

Avant de discuter