Le piège classique
L'article 64 fixe une date couperet : le 17 janvier 2025. Beaucoup d'entités financières luxembourgeoises ont sous-estimé la portée opérationnelle de cette date, croyant disposer d'une période de tolérance. La CSSF a été claire dans sa circulaire CSSF 24/847 et ses communications : aucun délai de grâce. Dès le 17 janvier 2025, les exigences DORA sont pleinement opposables, y compris l'obligation de notification d'incidents majeurs sous 4 heures, le registre complet des prestataires TIC, les tests TLPT pour les entités significatives, et les clauses contractuelles article 30. Le piège : avoir commencé tardivement et se retrouver, en cas de contrôle CSSF en 2025, avec des contrats fournisseurs non renégociés et un registre TIC incomplet.
Les chantiers qui restent ouverts après le 17 janvier 2025
- Renégociation des contrats TIC existants : la majorité des contrats hérités (M365, AWS, Azure, Salesforce, prestataires de marché) n'intègrent pas les clauses article 30 (droits d'audit, sortie ordonnée, sous-traitance, localisation des données).
- Registre d'information article 28(3) à remettre annuellement à la CSSF au format ITS défini par les ESAs (premier reporting au 30 avril 2025).
- Politique de gestion du risque TIC article 6, validée par l'organe de direction et révisée annuellement.
- Cadre de tests de résilience opérationnelle numérique article 24 à 27, avec TLPT triennaux pour les entités désignées.
- Procédures de classification et notification d'incidents majeurs article 17 à 19, alignées sur les RTS finaux des ESAs.
- Évaluation des prestataires TIC critiques tiers et préparation à la supervision directe par les ESAs.
Le calendrier réglementaire CSSF post 17 janvier 2025
La CSSF a publié dès 2024 ses attentes via la circulaire 24/847 qui abroge progressivement la circulaire 20/750 sur la gouvernance TIC. Les premiers contrôles thématiques DORA ont démarré en 2025 et ciblent en priorité le registre d'information, la gouvernance article 5 et la chaîne de sous-traitance critique. Les sanctions article 50 DORA peuvent atteindre 1% du chiffre d'affaires journalier moyen mondial par jour d'infraction continue.
Comment Luxgap automatise ce risque
Notre Luxgap DORA Readiness Cockpit transforme la date du 17 janvier 2025 en tableau de bord vivant qui mesure en temps réel votre niveau de conformité réel, article par article, et non votre niveau déclaré. L'outil se connecte à votre SI (Active Directory, M365, ServiceNow, Jira, contrats Odoo ou SAP Ariba, ITSM, SIEM Sentinel ou Splunk) et reconstitue automatiquement l'écart entre le texte DORA et votre réalité opérationnelle, sans questionnaire à remplir.
- Calcule un score de maturité DORA par chapitre (gouvernance, gestion du risque TIC, incidents, tests, tiers, partagé d'informations) actualisé chaque nuit à partir de vos systèmes connectés.
- Détecte automatiquement les contrats TIC non conformes à l'article 30 en analysant les clauses via un agent LLM spécialisé entraîné sur les RTS des ESAs.
- Génère le registre d'information article 28(3) au format ITS exact attendu par la CSSF, prêt à transmettre au 30 avril chaque année.
- Alerte instantanément via Teams ou Slack dès qu'un nouveau prestataire TIC critique apparaît dans vos systèmes sans contrat conforme.
- Produit un rapport PDF horodaté et scellé cryptographiquement, opposable lors d'un contrôle CSSF, qui démontre votre trajectoire de conformité depuis le 17 janvier 2025.
- Simule un contrôle CSSF blanc sur la base des grilles de contrôle thématique publiées, et identifié les 5 écarts prioritaires à corriger.
Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre réglementé. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre périmètre réel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition DORA avant tout engagement.
