Comment se conformer à l'article 23 du DORA ?

Question

Je dois mettre mon organisation luxembourgeoise en conformité à l'article 23 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueL'article 23 étend silencieusement tout le régime de notification TIC du chapitre III aux incidents liés au paiement, en superposant DORA à la DSP2. Les établissements de crédit, de paiement, AISP et EME doivent donc gérer une double qualification : un incident peut être à la fois un major ICT-related incident (art. 19) et un major operational or security payment-related incident. La CSSF sanctionné en pratique deux pièges : la sous-déclaration (l'incident est traité comme purement paiement DSP2 et le canal DORA n'est jamais déclenché) et la déclaration tardive parce que les équipes paiement et les équipes TIC n'utilisent pas le même outil de classification.Les pièges concrets de l'article 23 en pratiqueUn déni de service sur le portail e-banking dégrade l'authentification forte : c'est simultanément un incident TIC majeur ET un incident de sécurité lié au paiement.Une compromission de fournisseur tiers (acquéreur, processeur cartes, prestataire 3DS) déclenche les obligations DORA même si l'incident nait chez le tiers.Les seuils de classification du règlement délégué (UE) 2024/1772 doivent être appliqués à chaque incident, y compris paiement, ce qui multiplie les arbres de décision.La notification initiale, intermédiaire et finale (24h / 72h / 1 mois) s'applique aussi aux incidents paiement majeurs, ce qui supprime l'ancien rythme DSP2 plus souple.Les EME et AISP, historiquement peu outillés côté SOC, sont les plus exposés à un constat de défaillance organisationnelle par la CSSF.Comment Luxgap automatise ce risqueNotre Luxgap Payment Incident Dual-Track élimine définitivement la zone grise entre incident TIC et incident paiement : chaque alerte qui touche un service de paiement est qualifiée en parallèle sur les deux grilles réglementaires, et les notifications CSSF partent automatiquement sur les bons canaux dans les bons délais. L'outil se branche en lecture sur votre SIEM (Sentinel, Splunk, Wazuh), votre plateforme de paiement (Worldline, Equensworldline, ACI, processeur cartes interne), votre AS2 SWIFT et votre IAM pour reconstituer chaque incident sans intervention humaine.Détecte en temps réel toute dégradation d'un flux de paiement ou d'authentification forte via correlation SIEM + métriques de transaction, sans attendre le ticket du métier.Applique simultanément la grille de classification du règlement délégué 2024/1772 (DORA) et les critères DSP2/EBA-GL/2021/03, et indique précisément lequel des deux régimes s'applique ou si les deux s'appliquent.Génère et préremplit les formulaires CSSF de notification initiale (4h), intermédiaire (72h) et finale (1 mois), horodatés et signés cryptographiquement.Alerte les équipes paiement, sécurité et compliance sur le même canal Teams avec un arbre de décision visuel partagé, supprimant les arbitrages tardifs entre RSSI et responsable paiement.Produit un journal d'incidents opposable, exportable au format demandé par la CSSF lors des inspections sur site, démontrant la conformité...

Incidents opérationnels ou de sécurité liés au paiement concernant les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique

Ils nous font confiance

Avant de discuter