Le piège classique
L'article 64 fixe une date couperet : DORA s'applique depuis le 17 janvier 2025, sans période de grace, sans transition douce. Le piège que la CSSF sanctionne n'est pas l'ignorance du texte, mais la croyance qu'une entité financiere luxembourgeoise pouvait attendre une circulaire de transposition pour s'aligner. DORA etant un règlement d'application directe, aucune mesure nationale n'etait requise : au 17 janvier 2025, les banques, fintechs régulées, PSF, gestionnaires AIFM et assureurs devaient deja disposer d'un cadre de gestion du risque TIC opérationnel, d'un registre d'information des prestataires tiers et d'un dispositif de notification d'incidents. Les contrôles CSSF de 2025 portent précisément sur l'ecart entre la date légale et la maturite reelle.
Pourquoi la date du 17 janvier 2025 ne se negocie pas
Beaucoup d'entités ont confondu l'application de DORA avec le calendrier d'adoption des RTS. C'est une erreur structurante.
- Le règlement de base (obligations de gouvernance TIC, registre d'information, gestion des incidents, tests de résilience) s'applique intégralement depuis le 17 janvier 2025, independamment des normes techniques.
- Les RTS et ITS (règlement delegue 2025/532 sur la sous-traitance TIC, règlement delegue 2025/1190 sur les tests TLPT mis en œuvre via TIBER-LU) sont venus préciser, pas reporter, les obligations deja en vigueur.
- Les circulaires CSSF 20/750 (modifiee par 25/881), 22/806 (modifiee par 25/883) et 25/882 ont ete alignees sur ce calendrier : elles n'octroient aucun délai supplémentaire, elles articulent le cadre existant avec DORA.
- DORA est lex specialis et prime sur NIS 2 pour les mêmes entités financieres (art. 1) : invoquer un calendrier NIS 2 plus souple est inopposable a la CSSF.
- La premiere remise du registre d'information des prestataires tiers TIC a la CSSF s'est faite des le premier trimestre 2025 : un registre incomplet a cette date constitue un manquement constate, pas un retard toléré.
La sanction encourue peut atteindre 1% du chiffre d'affaires journalier moyen mondial de l'entité, applique par jour jusqu'à mise en conformité, sans préjudice des mesures correctrices imposees par la CSSF.
Comment Luxgap automatise ce risque
Notre Luxgap Compliance Countdown transforme le mur réglementaire du 17 janvier 2025 en feuille de route datee et opposable, en reconstituant automatiquement votre niveau de conformité DORA article par article. L'outil interroge en continu vos systèmes (Active Directory, Microsoft Defender, Azure Sentinel, votre GRC, votre registre d'externalisation Odoo ou Sage BOB 50) pour mesurer l'ecart reel entre vos obligations légales en vigueur et votre maturite constatee, sans questionnaire a remplir par le CISO.
- Calcule un score de conformité par exigence DORA en vigueur (gouvernance TIC, registre d'information, notification d'incidents, tests de résilience) et signale chaque obligation deja applicable mais non couverte.
- Detecte les prestataires tiers TIC absents de votre registre d'information en croisant vos contrats, paiements et accès, et prepare le format de remise attendu par la CSSF.
- Cartographie l'articulation entre DORA, les circulaires CSSF 20/750, 22/806, 25/882 et les RTS 2025/532 et 2025/1190 pour eliminer les doublons et les angles morts.
- Alerte en temps reel des qu'un nouveau service TIC critique entre en production sans clause contractuelle conforme aux RTS de sous-traitance.
- Produit un rapport PDF horodate et scelle, opposable lors d'un contrôle CSSF, qui démontré la date a laquelle chaque obligation a ete couverte.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.