Je dois mettre mon organisation luxembourgeoise en conformité à l'article 47 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 47 organise la coopération entre la CSSF (autorité DORA pour le secteur financier) et l'ILR (autorité NIS 2 au Luxembourg, via le GovCERT et le CSIRT national). Le piège : une banque ou une fintech CSSF qui subit un incident TIC majeur impliquant un prestataire désigné comme critical ICT third-party service provider au sens de l'article 31 doit gérer en parallèle deux flux de notification, deux autorités, deux délais. Les sanctions ne tombent pas sur l'article 47 lui-même, mais sur le défaut de cohérence : déclaration tardive à la CSSF parce que l'équipe attendait la coordination ILR, ou incohérence factuelle entre le rapport CSSF et le rapport CSIRT, ce qui fragilise immédiatement la défense en cas de contrôle.Le double pilotage CSSF / ILR en pratiqueConcrètement, une entité financière luxembourgeoise doit anticiper trois zones de friction opérationnelle :Identifier en amont si ses prestataires TIC majeurs (cloud, MSSP, data center) sont susceptibles d'être désignés critical par les AES, donc soumis au double régime DORA + NIS 2.Cartographier les points de contact réels : Single Point of Contact NIS 2 (ILR), CSIRT national (GovCERT.lu / CIRCL selon le secteur), et la cellule supervision TIC de la CSSF.Préparer des procédures écrites de notification croisée, alignées sur le délai DORA (notification initiale dans les 24h après classification de l'incident majeur) et le délai NIS 2 (early warning sous 24h, notification sous 72h).Les accords de coopération visés au paragraphe 3 sont conclus entre autorités, mais leur effet pratique retombe sur vous : si la CSSF et l'ILR partagent l'information sur votre incident, votre récit doit être cohérent des deux côtés.Comment Luxgap automatise ce risqueNotre Luxgap Dual-Authority Incident Router élimine le risque d'incohérence entre votre déclaration CSSF (DORA art. 19) et votre déclaration ILR (NIS 2 art. 23) en générant les deux notifications à partir d'un dossier d'incident unique, horodaté et cryptographiquement scellé. L'outil s'intègre à votre SIEM (Microsoft Sentinel, Splunk, Wazuh) et à votre ITSM (ServiceNow, Jira) pour capter l'incident dès sa classification interne, puis route automatiquement les bons éléments vers les bons canaux selon que votre prestataire impacté est désigné critical ICT third-party provider ou non.Détecte automatiquement si un incident TIC implique un prestataire figurant sur la liste des CTPP publiée par les AES, déclenchant le double régime DORA + NIS 2.Génère en parallèle le formulaire de notification CSSF DORA (rapport initial, intermédiaire, final) et le formulaire ILR / GovCERT.lu, en garantissant la cohérence factuelle entre les deux récits.Suit les délais imbriqués (24h DORA, 24h early warning NIS 2, 72h notification NIS 2, 1 mois rapport final) avec alertes Teams ou Slack à T-4h, T-1h, T-0.Calcule un score de cohérence entre les deux notifications et alerte le DPO ou CISO si un écart sémantique apparaît avant envoi.Produit un dossier de p...

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 47

Coopération avec les structures et autorités établies par la directive (UE) 2022/2555

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Coopération avec les structures et autorités établies par la directive (UE) 2022/2555

1. Afin de favoriser la coopération et de permettre des échanges en matière de surveillance entre les autorités compétentes désignées conformément au présent règlement et le groupe de coopération institué par l’article 14 de la directive (UE) 2022/2555, les AES et les autorités compétentes peuvent participer aux activités du groupe de coopération pour les questions qui concernent leurs activités de supervision liées aux entités financières. Les AES et les autorités compétentes peuvent demander à être invitées à participer aux activités du groupe de coopération pour les questions en lien avec les entités essentielles ou importantes relevant de la directive (UE) 2022/2555 qui ont également été désignées comme des prestataires tiers critiques de services TIC en vertu de l’article 31 du présent règlement.

2. Le cas échéant, les autorités compétentes peuvent consulter les points de contact uniques et les CSIRT désignés ou établis conformément à la directive (UE) 2022/2555 et partager des informations avec ceux-ci.

3. Le cas échéant, les autorités compétentes peuvent demander tout conseil et assistance technique pertinents aux autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555 et établir des accords de coopération permettant la mise en place de mécanismes de coordination efficaces et rapides.

4. Les accords visés au paragraphe 3 du présent article peuvent, entre autres, préciser les procédures relatives à la coordination des activités de surveillance et de supervision en ce qui concerne les entités essentielles ou importantes relevant de la directive (UE) 2022/2555 qui ont été désignées comme prestataires tiers critiques de services TIC en vertu de l’article 31 du présent règlement, ainsi que les procédures relatives à la réalisation, conformément au droit national, d’enquêtes et d’inspections sur place, et les procédures régissant les mécanismes d’échange d’informations entre les autorités compétentes relevant du présent règlement et les autorités compétentes désignées ou établies conformément à ladite directive, y compris l’accès aux informations demandées par ces dernières.

Spécificité Luxembourg

loi du 17 juillet 2024 portant transposition de la directive (UE) 2022/2555 (NIS 2)

Au Luxembourg, la coopération article 47 met en jeu la CSSF (autorité DORA pour le secteur financier) et l'ILR (autorité nationale NIS 2 désignée par la loi du 17 juillet 2024 portant transposition de la directive (UE) 2022/2555), avec le concours du GovCERT.lu (CSIRT gouvernemental) et du CIRCL (CSIRT pour le secteur privé non gouvernemental). Pour les entités financières dont un prestataire TIC est désigné CTPP, attendez-vous à des demandes d'information coordonnées CSSF + ILR, et à des inspections sur site conjointes prévues par le paragraphe 4.

Pratique Luxgap : préparez dès maintenant une matrice RACI nominative qui désigne, pour chaque scénario d'incident TIC, le point de contact CSSF, le SPOC NIS 2 à l'ILR, et le CSIRT compétent (GovCERT.lu pour les OIV, CIRCL pour le privé), avec délais et formats de notification figés par écrit.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 47 organise la coopération entre la CSSF (autorité DORA pour le secteur financier) et l'ILR (autorité NIS 2 au Luxembourg, via le GovCERT et le CSIRT national). Le piège : une banque ou une fintech CSSF qui subit un incident TIC majeur impliquant un prestataire désigné comme critical ICT third-party service provider au sens de l'article 31 doit gérer en parallèle deux flux de notification, deux autorités, deux délais. Les sanctions ne tombent pas sur l'article 47 lui-même, mais sur le défaut de cohérence : déclaration tardive à la CSSF parce que l'équipe attendait la coordination ILR, ou incohérence factuelle entre le rapport CSSF et le rapport CSIRT, ce qui fragilise immédiatement la défense en cas de contrôle.

Le double pilotage CSSF / ILR en pratique

Concrètement, une entité financière luxembourgeoise doit anticiper trois zones de friction opérationnelle :

Identifier en amont si ses prestataires TIC majeurs (cloud, MSSP, data center) sont susceptibles d'être désignés critical par les AES, donc soumis au double régime DORA + NIS 2.
Cartographier les points de contact réels : Single Point of Contact NIS 2 (ILR), CSIRT national (GovCERT.lu / CIRCL selon le secteur), et la cellule supervision TIC de la CSSF.
Préparer des procédures écrites de notification croisée, alignées sur le délai DORA (notification initiale dans les 24h après classification de l'incident majeur) et le délai NIS 2 (early warning sous 24h, notification sous 72h).

Les accords de coopération visés au paragraphe 3 sont conclus entre autorités, mais leur effet pratique retombe sur vous : si la CSSF et l'ILR partagent l'information sur votre incident, votre récit doit être cohérent des deux côtés.

Comment Luxgap automatise ce risque

Notre Luxgap Dual-Authority Incident Router élimine le risque d'incohérence entre votre déclaration CSSF (DORA art. 19) et votre déclaration ILR (NIS 2 art. 23) en générant les deux notifications à partir d'un dossier d'incident unique, horodaté et cryptographiquement scellé. L'outil s'intègre à votre SIEM (Microsoft Sentinel, Splunk, Wazuh) et à votre ITSM (ServiceNow, Jira) pour capter l'incident dès sa classification interne, puis route automatiquement les bons éléments vers les bons canaux selon que votre prestataire impacté est désigné critical ICT third-party provider ou non.

Détecte automatiquement si un incident TIC implique un prestataire figurant sur la liste des CTPP publiée par les AES, déclenchant le double régime DORA + NIS 2.
Génère en parallèle le formulaire de notification CSSF DORA (rapport initial, intermédiaire, final) et le formulaire ILR / GovCERT.lu, en garantissant la cohérence factuelle entre les deux récits.
Suit les délais imbriqués (24h DORA, 24h early warning NIS 2, 72h notification NIS 2, 1 mois rapport final) avec alertes Teams ou Slack à T-4h, T-1h, T-0.
Calcule un score de cohérence entre les deux notifications et alerte le DPO ou CISO si un écart sémantique apparaît avant envoi.
Produit un dossier de preuve opposable, horodaté, démontrant que la coordination entre CSSF et ILR a été respectée, utile lors d'une inspection conjointe au titre du paragraphe 4.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre réglementaire. Demandez un devis personnalisé et nos équipes préparent une démonstration sur un scénario d'incident réaliste tiré de votre cartographie TIC, avec un audit blanc gratuit sous 48h pour mesurer votre exposition au double régime avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Coopération avec les structures et autorités établies par la directive (UE) 2022/2555

Ils nous font confiance

Avant de discuter