Le piège classique
L'article 62 du DORA reecrit silencieusement le regime de sécurité applicable aux APA, CTP et ARM regules sous MiFIR (règlement 600/2014). Avant DORA, ces prestataires de services de communication de données (DRSP) etaient soumis a des exigences de sécurité réseau autonomes, supervisees par l'ESMA. Depuis le 17 janvier 2025, ils basculent intégralement sous le regime DORA : gouvernance TIC article 5, gestion des risques articles 6 a 16, notification des incidents majeurs articles 17 a 23, tests de résilience articles 24 a 27, et gestion du risque tiers articles 28 a 30. Le piège que l'ESMA et la CSSF sanctionnent : les APA, CTP et ARM continuent de raisonner avec leur ancien référentiel MiFIR et omettent les obligations DORA spécifiques (registre d'information article 28(3), TLPT articles 26-27 si désignés critiques, classification des incidents selon le règlement délégué 2024/1772).
Les angles morts a couvrir avant le prochain contrôle
- Requalification du périmètre : votre statut APA, CTP ou ARM déclenche automatiquement l'application integrale du DORA, même si vous êtes une entité de petite taille. Aucun seuil de minimis n'existe pour les DRSP.
- Registre d'information : vous devez maintenir et transmettre annuellement a la CSSF le registre des accords contractuels avec vos prestataires TIC tiers, au format ITS 2024/2956.
- Incidents TIC majeurs : la notification initiale dans les 4 heures suivant la classification (et au plus tard 24h après la détection) remplace les anciens canaux ESMA. Le destinataire au Luxembourg est la CSSF.
- Tests de penetration TLPT : si l'ESMA vous désigné DRSP critique, vous entrez dans le périmètre des tests fondes sur la menacé tous les 3 ans, avec testeurs accredites TIBER-LU.
- Articulation MiFIR / DORA : les exigences organisationnelles MiFIR (article 27 octies, 27 nonies, 27 decies) subsistent pour la qualité de données, mais la sécurité TIC est intégralement absorbee par le DORA.
Comment Luxgap automatise ce risque
Notre Luxgap DRSP Compliance Bridge elimine la zone grise entre MiFIR et DORA pour les APA, CTP et ARM luxembourgeois, en cartographiant automatiquement vos obligations residuelles MiFIR et vos nouvelles obligations DORA dans un référentiel unique opposable a la CSSF. L'outil aspire en continu vos politiques internes, vos contrats prestataires (M365, AWS, Azure, Bloomberg, Refinitiv) et vos rapports d'incidents pour produire une vue de conformité croisee MiFIR x DORA, sans que votre RCCI ait a maintenir deux registres en parallele.
- Detecte automatiquement les exigences MiFIR articles 27 octies, 27 nonies et 27 decies qui ont ete absorbees par le DORA et celles qui restent autonomes, evitant les doubles contrôles inutiles.
- Genere le registre d'information DORA au format ITS 2024/2956 prerempli à partir de vos contrats Odoo, DocuSign et Ironclad, pret pour la remise annuelle a la CSSF.
- Classifie chaque incident TIC selon les critères du règlement délégué 2024/1772 (clients affectes, durée, perte de données, impact economique) et déclenche le workflow de notification CSSF en 4 heures.
- Vérifié la criticite de vos prestataires TIC tiers via la grille article 28(2) du DORA et alerte sur les fournisseurs susceptibles d'être désignés CTPP par les ESAs.
- Produit un rapport PDF horodate scelle cryptographiquement, demontrant la conformité croisee MiFIR-DORA, opposable lors d'un contrôle conjoint CSSF / ESMA.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre statut DRSP. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition residuelle avant tout engagement.
