Je dois mettre mon organisation luxembourgeoise en conformité à l'article 4 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 4

Principe de proportionnalité

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Principe de proportionnalité

1. Les entités financières mettent en œuvre les règles énoncées au chapitre II conformément au principe de proportionnalité, en tenant compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations.

2. En outre, l’application par les entités financières des chapitres III et IV et du chapitre V, section I, est proportionnée à leur taille et à leur profil de risque global, ainsi qu’à la nature, à l’ampleur et à la complexité de leurs services, activités et opérations, comme le prévoient expressément les règles pertinentes desdits chapitres.

3. Les autorités compétentes tiennent compte de l’application du principe de proportionnalité par les entités financières lorsqu’elles examinent la cohérence du cadre de gestion du risque lié aux TIC sur la base des rapports présentés à la demande des autorités compétentes conformément à l’article 6, paragraphe 5, et à l’article 16, paragraphe 2.

Spécificité Luxembourg

circulaires CSSF 24/847 et 22/806

Au Luxembourg, la CSSF est l'autorité competente DORA et a intégré le principe de proportionnalite dans sa circulaire CSSF 24/847 sur la gestion des incidents TIC et dans la mise a jour de la circulaire CSSF 22/806 sur l'externalisation. La CSSF exige que la justification de proportionnalite soit documentee dans le ICT Risk Management Framework formellement approuve par l'organe de direction, et non simplement par le CISO ou le DPO. Pour les PSF de support et les petits gestionnaires AIFM sous seuil, le regime simplifie de l'article 16 doit être revendique par notification formelle a la CSSF.

Pratique Luxgap : nos équipes calibrent votre dossier de proportionnalite avec les seuils CSSF reels (total bilan, AuM, ETP, criticite des prestataires tiers TIC) et preparent la notification article 16 lorsque vous y etes eligible, en coherence avec vos obligations CSSF 22/806 sur l'externalisation cloud.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 4 sonne comme une promesse de souplesse, mais c'est en réalité l'article le plus dangereux du DORA. La CSSF ne sanctionné pas le defaut de proportionnalite : elle sanctionné l'incapacite a documenter pourquoi vous avez jugé tel contrôle disproportionne. Beaucoup d'entités financieres luxembourgeoises (PSF de support, petits gestionnaires AIFM, intermédiaires d'assurance) lisent l'article 4 comme un droit a faire moins, alors qu'il impose en réalité une charge de la preuve renforcee. Sans dossier d'argumentation ecrit, taille, profil de risque et complexité mesures, le régulateur considéré que le cadre TIC est simplement incomplet.

Le test 'proportionné' : les 4 critères que la CSSF va examiner

L'article 4(1) et 4(2) fixent quatre critères cumulatifs que vous devez documenter pour chaque contrôle DORA allege ou non implemente :

Taille : effectifs ETP, total bilan, AuM, volume de transactions. Pas une appreciation qualitative, des chiffres dates.
Profil de risque global : cartographie des risques TIC consolidee, exposition cyber, dependance aux prestataires tiers TIC critiques.
Nature des services : retail vs institutionnel, transfrontalier vs domestique, activités externalisées vs internalisees.
Ampleur et complexité : nombre de systèmes critiques, interconnexions, périmètre géographique, volumes transactionnels.

Attention : le regime simplifié de l'article 16 (petites entités non interconnectees) n'est PAS automatique. Il faut le revendiquer formellement et le justifier annuellement. La CSSF a indique dans ses circulaires récentes qu'elle examinera systématiquement la coherence du cadre lors des contrôles thematiques 2024-2025, en s'appuyant sur l'article 4(3) pour exiger des rapports détaillés.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Proportionality Engine transforme l'argumentation de proportionnalite, aujourd'hui redigee a la main dans des Word de 80 pages, en un dossier dynamique opposable a la CSSF, recalcule en continu sur vos données reelles. L'outil se connecte a vos sources financieres et opérationnelles (eCDF, FundConnext, Sage BOB 50, Microsoft Defender, Azure Sentinel, votre core banking ou votre PMS) pour mesurer chaque critère quantitatif de l'article 4 sans questionnaire DPO/CISO.

Calcule en temps reel votre score de proportionnalite DORA (taille, risque, nature, complexité) à partir des données comptables, RH et TIC connectees, avec recalcul automatique a chaque cloture trimestrielle.
Detecte automatiquement votre eligibilite au regime simplifié de l'article 16 en croisant total bilan, interconnexions cartographiees et services transfrontaliers declares au registre CSSF.
Genere pour chaque exigence des chapitres II, III, IV et V section I une fiche d'argumentation prerempli justifiant le niveau de mise en œuvre retenu, citant l'article 4 et les critères factuels mesures.
Alerte sur Teams ou par mail des qu'un seuil bascule votre entité vers un regime DORA plus exigeant (croissance AuM, acquisition, ajout d'un prestataire tiers TIC critique).
Produit un rapport PDF horodate et cryptographiquement scelle, opposable lors d'un contrôle CSSF au titre de l'article 4(3), demontrant la coherence du cadre TIC avec votre profil reel.
Compare anonymement votre score aux pairs luxembourgeois du même segment (banques privées, PSF de support, gestionnaires AIFM sous seuil) pour anticiper les questions du régulateur.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos données reelles, avec un audit blanc gratuit sous 48h pour mesurer votre exposition CSSF avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Principe de proportionnalité

Ils nous font confiance

Avant de discuter