Le piège classique
L'article 63 est une disposition de coordination : il greffe les exigences TIC de DORA dans le règlement Benchmarks (UE 2016/1011) pour les administrateurs d'indices de référence d'importance critique. Le piège est de croire que ces administrateurs, deja regules au titre du règlement Benchmarks, échappent a DORA ou peuvent se contenter de leurs procédures comptables existantes. La CSSF attend desormais des administrateurs d'indices critiques établis ou agréés au Luxembourg qu'ils demontrent une gestion des systèmes TIC pleinement conforme a DORA, et non de simples mécanismes de contrôle interne génériques. L'erreur frequente : traiter la robustesse TIC comme un sujet d'audit financier et non comme un cadre de gestion du risque TIC structure (gouvernance, registre des actifs, tests de résilience, notification d'incidents).
Ce que cette greffe implique concretement
- Les administrateurs d'indices d'importance critique relevent du cadre de gestion du risque TIC de DORA (articles 5 a 16) : politique, cartographie des actifs, contrôles continus.
- Les dispositifs efficaces de contrôle et de sauvegarde exiges par le nouvel article 6(6) Benchmarks doivent être lus a la lumiere des RTS DORA (gestion du risque TIC, sauvegardes, restauration).
- La notification des incidents TIC majeurs a la CSSF s'applique selon le canal et les seuils DORA, pas selon une logique purement Benchmarks.
- Le registre des accords contractuels avec les prestataires TIC tiers (article 28 DORA) couvre aussi la chaîne de production et de calcul de l'indice.
- Les tests de résilience opérationnelle numérique deviennent une obligation, et non une bonne pratique facultative.
Concretement, un administrateur d'indice critique doit prouver la tracabilite entre ses dispositifs de sauvegarde Benchmarks et les exigences techniques DORA. C'est cette double conformité, articulee et documentee, que la CSSF contrôle.
Comment Luxgap automatise ce risque
Notre Luxgap Benchmark Résilience Mapper rend impossible le trou de conformité entre le règlement Benchmarks et DORA : il relie chaque exigence du nouvel article 6(6) a la mesure DORA correspondante et signale immediatement les angles morts. L'outil se connecte a vos environnements de calcul d'indices (pipelines de données, M365, Azure Sentinel, Microsoft Defender, AWS) pour cartographier en continu les systèmes TIC critiques a la production de l'indice, sans questionnaire a remplir.
- Detecte automatiquement les actifs TIC impliques dans le calcul et la diffusion de l'indice critique en interrogeant vos inventaires Azure, AWS et Active Directory.
- Croise chaque dispositif de contrôle et de sauvegarde Benchmarks avec l'exigence DORA equivalente (articles 5 a 16 et RTS gestion du risque TIC) et marque les ecarts.
- Verifie la couverture des prestataires TIC tiers de la chaîne d'indice dans le registre article 28 DORA et alerte sur les contrats sans clauses de résilience.
- Calcule un score de résilience opérationnelle numérique et planifie les tests requis avant chaque revue CSSF.
- Produit un rapport PDF horodate opposable a la CSSF, demontrant la conformité articulee article 6(6) Benchmarks et DORA.
Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.