Le piège classique
L'article 4 est trompeusement rassurant : il laisse croire que les petites entités financieres peuvent appliquer DORA a minima. C'est faux. La proportionnalite n'est pas une exemption, c'est une obligation de justification. La CSSF ne sanctionne pas le fait d'avoir un dispositif allege, elle sanctionne l'incapacite a démontrer pourquoi ce dispositif est proportionné a votre taille, votre profil de risque et la complexité de vos opérations. Une fintech régulée CSSF ou un gestionnaire AIFM qui invoque la proportionnalite sans dossier d'analyse documente se retrouve sans défense lors de l'examen de coherence du cadre de gestion du risque TIC (art. 6(5) et 16(2)).
Le piège en pratique : la proportionnalite n'est jamais une auto-declaration
L'erreur récurrente consiste a traiter la proportionnalite comme un choix discretionnaire interne. La CSSF, qui prend explicitement en compte son application (art. 4(3)), attend une tracabilite. Voici ce qui doit être documente :
- La justification ecrite du profil de risque global retenu, avec les critères quantitatifs et qualitatifs mobilises (volume d'actifs, criticite des services, dependances TIC).
- Le périmètre exact des allegements revendiques au titre des chapitres II, III, IV et V section I, article par article.
- La distinction entre les règles qui admettent expressement la proportionnalite et celles qui s'imposent intégralement (cadre simplifié de l'art. 16 réservé aux entités eligibles).
- L'articulation avec les circulaires CSSF 20/750 (modifiee par 25/881) sur la gestion du risque TIC et 22/806 (modifiee par 25/883) sur l'externalisation, qui declinent localement le standard attendu.
- La preuve de revue périodique de cette analyse, car un profil de risque evolue avec la croissance de l'entité.
Attention : DORA etant lex specialis pour le secteur financier, il prime sur NIS 2 pour les mêmes entités (art. 1). Une entité financiere ne peut pas se replier sur un cadre NIS 2 allege pour échapper a la rigueur de DORA.
Comment Luxgap automatise ce risque
Notre Luxgap Proportionality Justifier transforme la proportionnalite d'argument fragile en dossier opposable a la CSSF. L'outil calcule votre profil de risque global à partir de vos données reelles (registre des actifs TIC, cartographie des prestataires tiers, criticite des fonctions importantes) et genere automatiquement la justification article par article des allegements que vous pouvez legitimement revendiquer, sans formulaire a remplir manuellement.
- Calcule un score de profil de risque global à partir de vos systèmes connectes (Active Directory, Microsoft Defender, registre d'externalisation, inventaire CMDB) et le confronte aux seuils d'eligibilite au cadre simplifié de l'article 16.
- Classifie chaque exigence des chapitres II a V selon qu'elle admet la proportionnalite ou s'impose intégralement, en s'appuyant sur le texte DORA et les circulaires CSSF 20/750 et 25/882.
- Genere la note de justification proportionnalite par article, prete a annexer au cadre de gestion du risque TIC remis a la CSSF.
- Alerte en temps reel lorsque votre croissance (nouveaux actifs, nouveaux services, nouvelles dependances TIC) fait basculer votre profil de risque et invalide un allegement precedemment revendique.
- Produit un rapport PDF horodate et scelle, opposable lors de l'examen de coherence au titre des articles 6(5) et 16(2), demontrant que chaque choix de proportionnalite repose sur une analyse datee.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre profil de risque reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.