Je dois mettre mon organisation luxembourgeoise en conformité au considérant 1 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 1 pose la philosophie de DORA : la résilience numérique n'est plus un sujet IT isole, elle doit être intégrée au cadre opérationnel global de l'entité financiere. La CSSF sanctionné deja les acteurs qui traitent le risque TIC comme une annexe technique du plan de continuite, sans gouvernance, sans cartographie des dependances, sans mesure de l'impact metier. Les contrôles thematiques CSSF 2024-2025 montrent que la majorite des entités financieres luxembourgeoises ont une vision parcellaire de leur surface d'exposition TIC, en particulier sur les chaînes de sous-traitance en cascade (cloud sur cloud, SaaS metier hebergeant sur AWS/Azure, prestataires de paie connectes au core banking).Ce que ce considérant change concretement dans votre gouvernanceLa résilience opérationnelle numérique devient un pilier de gouvernance au même niveau que le risque de crédit ou de liquidite, et non plus un sous-domaine du risque opérationnel.L'organe de direction doit pouvoir démontrer qu'il comprend les dependances TIC critiques de chaque ligne metier (banque privée, fonds, paiements, custody).La cartographie des actifs TIC doit être vivante, croisee avec la criticite metier et les chaînes de sous-traitance, pas un inventaire Excel annuel.Les cybermenaces et les dysfonctionnements TIC doivent être traites avec la même rigueur : un incident interne non malveillant (panne, erreur de configuration) entre dans le périmètre DORA au même titre qu'une attaque.L'intégration dans le cadre opérationnel plus large implique des liens documentes avec le BCP, le risk appetite framework, le ICAAP/ORSA et la politique d'externalisation CSSF 22/806.Comment Luxgap automatise ce risqueNotre Luxgap Résilience Fabric materialise en temps reel la dependance TIC reelle de chaque processus metier critique de votre entité financiere, et transforme l'intention du considérant 1 en cartographie opposable a la CSSF. L'outil aspire automatiquement vos sources existantes (Active Directory, Microsoft Defender, Azure Sentinel, AWS Config, configuration LuxConnect/eBRC, contrats Odoo, registre de sous-traitance CSSF 22/806) et reconstruit la chaîne complète actif -> service TIC -> fonction metier critique, sans demander a votre RSSI de remplir un seul tableur.Detecte automatiquement les nouvelles dependances TIC des qu'un service cloud, un SaaS metier ou un prestataire apparait dans vos flux financiers, vos logs ou vos contrats.Classifie chaque actif TIC selon sa criticite pour les fonctions financieres critiques au sens de l'article 3(22) DORA, en croisant la matrice metier et les flux reels observes.Calcule un score de résilience numérique par ligne metier et par fonction critique, comparable d'un trimestre a l'autre pour le comite de direction.Alerte en temps reel sur Teams ou Slack en cas de rupture de chaîne (sous-traitant de 4e rang non documente, certification ISO 27001 expirant, region cloud non conforme).Produit un rapport PDF horodate cryptographiquemen...

Considérant 1 DORA — Considérant 1

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 1

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(1)

À l’ère numérique, les technologies de l’information et de la communication (TIC) sous-tendent les systèmes complexes qui sont utilisés dans les activités quotidiennes. Elles contribuent à la bonne marche de nos économies dans des secteurs clés, tels que le secteur financier, et améliorent le fonctionnement du marché intérieur. Le degré croissant de numérisation et d’interconnexion accentue également le risque lié aux TIC, ce qui expose davantage la société dans son ensemble, et le système financier en particulier, aux cybermenaces ou aux dysfonctionnements des TIC. Si l’utilisation généralisée de systèmes de TIC ainsi qu’une numérisation et une connectivité poussées sont aujourd’hui des caractéristiques essentielles des activités des entités financières de l’Union, leur résilience numérique doit encore être mieux étudiée et intégrée dans leurs cadres opérationnels plus larges.

Spécificité Luxembourg

loi luxembourgeoise du 1er juillet 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité competente pour DORA pour l'ensemble du secteur financier regule, et la loi du 1er juillet 2024 portant mise en œuvre du règlement DORA désigné explicitement la CSSF et le CAA comme autorités de surveillance selon le type d'entité (entités financieres CSSF d'un cote, entreprises d'assurance et de reassurance et intermédiaires d'assurance pour le CAA de l'autre). La circulaire CSSF 24/847 sur la notification des incidents TIC complète le dispositif et s'articule avec la circulaire CSSF 22/806 sur l'externalisation.

Pratique Luxgap : connecter des le depart la cartographie DORA a votre registre d'externalisation CSSF 22/806 evite la double saisie et garantit la coherence entre les deux exercices lors d'une mission sur place.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 1 pose la philosophie de DORA : la résilience numérique n'est plus un sujet IT isole, elle doit être intégrée au cadre opérationnel global de l'entité financiere. La CSSF sanctionné deja les acteurs qui traitent le risque TIC comme une annexe technique du plan de continuite, sans gouvernance, sans cartographie des dependances, sans mesure de l'impact metier. Les contrôles thematiques CSSF 2024-2025 montrent que la majorite des entités financieres luxembourgeoises ont une vision parcellaire de leur surface d'exposition TIC, en particulier sur les chaînes de sous-traitance en cascade (cloud sur cloud, SaaS metier hebergeant sur AWS/Azure, prestataires de paie connectes au core banking).

Ce que ce considérant change concretement dans votre gouvernance

La résilience opérationnelle numérique devient un pilier de gouvernance au même niveau que le risque de crédit ou de liquidite, et non plus un sous-domaine du risque opérationnel.
L'organe de direction doit pouvoir démontrer qu'il comprend les dependances TIC critiques de chaque ligne metier (banque privée, fonds, paiements, custody).
La cartographie des actifs TIC doit être vivante, croisee avec la criticite metier et les chaînes de sous-traitance, pas un inventaire Excel annuel.
Les cybermenaces et les dysfonctionnements TIC doivent être traites avec la même rigueur : un incident interne non malveillant (panne, erreur de configuration) entre dans le périmètre DORA au même titre qu'une attaque.
L'intégration dans le cadre opérationnel plus large implique des liens documentes avec le BCP, le risk appetite framework, le ICAAP/ORSA et la politique d'externalisation CSSF 22/806.

Comment Luxgap automatise ce risque

Notre Luxgap Résilience Fabric materialise en temps reel la dependance TIC reelle de chaque processus metier critique de votre entité financiere, et transforme l'intention du considérant 1 en cartographie opposable a la CSSF. L'outil aspire automatiquement vos sources existantes (Active Directory, Microsoft Defender, Azure Sentinel, AWS Config, configuration LuxConnect/eBRC, contrats Odoo, registre de sous-traitance CSSF 22/806) et reconstruit la chaîne complète actif -> service TIC -> fonction metier critique, sans demander a votre RSSI de remplir un seul tableur.

Detecte automatiquement les nouvelles dependances TIC des qu'un service cloud, un SaaS metier ou un prestataire apparait dans vos flux financiers, vos logs ou vos contrats.
Classifie chaque actif TIC selon sa criticite pour les fonctions financieres critiques au sens de l'article 3(22) DORA, en croisant la matrice metier et les flux reels observes.
Calcule un score de résilience numérique par ligne metier et par fonction critique, comparable d'un trimestre a l'autre pour le comite de direction.
Alerte en temps reel sur Teams ou Slack en cas de rupture de chaîne (sous-traitant de 4e rang non documente, certification ISO 27001 expirant, region cloud non conforme).
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une mission CSSF sur place, qui démontré l'intégration de la résilience numérique dans le cadre opérationnel global.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 1

Ils nous font confiance

Avant de discuter