Je dois mettre mon organisation luxembourgeoise en conformité au considérant 10 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 10 acte un constat simple : avant DORA, chaque entité financiere multi-agreee jonglait avec des règles TIC differentes selon l'autorité (CSSF banque, CSSF entreprise d'investissement, CSSF établissement de paiement, CAA pour l'assurance), avec des définitions d'incident divergentes et des seuils de notification incoherents. DORA harmonise tout cela, mais la CSSF sanctionné desormais les entités qui maintiennent des silos internes heritage : une banque-EMI luxembourgeoise qui géré encore son risque TIC en deux registres separes, deux politiques distinctes et deux processus de notification cloisonnes manque l'intention du legislateur et s'exposé a un constat d'inefficacite organisationnelle lors du prochain contrôle SREP TIC.Ce que cette intention d'harmonisation change concretement pour une entité multi-agreee luxembourgeoiseUn seul cadre TIC consolide pour toutes les licences : la banque-entreprise d'investissement-EMI ne maintient plus trois registres distincts mais un registre unique des fonctions critiques cartographie par licence.Une seule taxonomie d'incident alignee sur les RTS DORA, applicable quel que soit le metier (banque, paiement, investissement) et opposable a la CSSF en un seul flux de notification.Une seule politique de tests de résilience (TLPT, scenario-based testing) couvrant tous les agrements, pour eviter le chevauchement couteux denonce par le considérant.Un seul registre des prestataires tiers TIC consolide groupe, avec identification des concentrations sur un même fournisseur utilise transfrontalierement (Azure, AWS, Swift, Bloomberg).Une gouvernance unique du risque TIC remontant a un seul organe de direction, même si l'entité detient plusieurs agrements CSSF.Le piège opérationnel : beaucoup d'acteurs luxembourgeois ont historiquement structure leur conformité TIC par licence (heritage CSSF Circulaires 12/552, 20/750, 22/806). DORA exige desormais une vue consolidee transverse, ce qui implique une refonte des outils de pilotage, pas un simple remapping documentaire.Comment Luxgap automatise ce risqueNotre Luxgap DORA Unified Cockpit consolide en temps reel l'ensemble de vos obligations TIC transverses a toutes vos licences CSSF et CAA dans une vue unique opposable au régulateur. L'outil se branche en lecture seule sur vos sources existantes (Active Directory, ServiceNow, Jira, Microsoft Defender, Azure Sentinel, registre fournisseurs Odoo ou SAP, contrats stockes sur SharePoint) et reconstruit automatiquement la cartographie consolidee de votre risque TIC, sans demander aux équipes metier de remplir un seul questionnaire supplémentaire.Detecte et fusionne automatiquement les doublons entre vos registres TIC heritage (un même prestataire Azure declare trois fois sous trois agrements differents devient une seule entree consolidee avec exposition agregee).Classifie chaque incident detecte selon la taxonomie DORA harmonisee (RTS 2024/1772) et pre-remplit le formulaire de notification CSSF da...

Considérant 10 DORA — Considérant 10

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 10

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(10)

À ce jour, étant donné que les dispositions relatives au risque lié aux TIC ne sont que partiellement abordées au niveau de l’Union, il existe des lacunes ou des chevauchements dans des domaines importants, tels que la notification des incidents liés aux TIC et les tests de résilience opérationnelle numérique, ainsi que des incohérences imputables à l’émergence de règles nationales divergentes ou une inefficacité par rapport au coût du fait de règles qui se chevauchent. Cette situation est particulièrement préjudiciable pour un gros utilisateur de TIC tel que le secteur financier, car les risques technologiques ne connaissent pas de frontières et le secteur financier déploie ses services sur une large base transfrontière à l’intérieur et à l’extérieur de l’Union. Les entités financières qui exercent des activités transfrontières ou qui détiennent plusieurs agréments (par exemple, une entité financière peut être détentrice d’un agrément bancaire, d’un agrément en tant qu’entreprise d’investissement et d’un agrément en tant qu’établissement de paiement, chacun délivré par une autorité compétente différente dans un ou plusieurs États membres) se heurtent à des difficultés opérationnelles lorsqu’il s’agit de faire face au risque lié aux TIC et d’atténuer les effets négatifs des incidents liés aux TIC de manière autonome, cohérente et efficace par rapport au coût.

Spécificité Luxembourg

Circulaire CSSF 24/847 du 5 avril 2024 relative a la notification des incidents TIC

Au Luxembourg, la CSSF a procede a l'abrogation et a la refonte des Circulaires TIC historiques (notamment 20/750 et 22/806) pour aligner son cadre prudentiel sur DORA via la Circulaire CSSF 24/847 relative a la notification des incidents TIC. Les entités financieres luxembourgeoises multi-agreees doivent desormais notifier les incidents TIC majeurs via un canal unique CSSF, quelle que soit la licence concernee, ce qui materialise concretement l'intention d'harmonisation du considérant 10.

Pratique Luxgap : pour les acteurs de la Place detenant plusieurs agrements (banque + PSF + EMI), nous recommandons une refonte de la cartographie TIC en un registre groupe unique avant le prochain SREP, avec migration des Circulaires heritage vers le référentiel DORA-CSSF 24/847 en mode iso-fonctionnel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 10 acte un constat simple : avant DORA, chaque entité financiere multi-agreee jonglait avec des règles TIC differentes selon l'autorité (CSSF banque, CSSF entreprise d'investissement, CSSF établissement de paiement, CAA pour l'assurance), avec des définitions d'incident divergentes et des seuils de notification incoherents. DORA harmonise tout cela, mais la CSSF sanctionné desormais les entités qui maintiennent des silos internes heritage : une banque-EMI luxembourgeoise qui géré encore son risque TIC en deux registres separes, deux politiques distinctes et deux processus de notification cloisonnes manque l'intention du legislateur et s'exposé a un constat d'inefficacite organisationnelle lors du prochain contrôle SREP TIC.

Ce que cette intention d'harmonisation change concretement pour une entité multi-agreee luxembourgeoise

Un seul cadre TIC consolide pour toutes les licences : la banque-entreprise d'investissement-EMI ne maintient plus trois registres distincts mais un registre unique des fonctions critiques cartographie par licence.
Une seule taxonomie d'incident alignee sur les RTS DORA, applicable quel que soit le metier (banque, paiement, investissement) et opposable a la CSSF en un seul flux de notification.
Une seule politique de tests de résilience (TLPT, scenario-based testing) couvrant tous les agrements, pour eviter le chevauchement couteux denonce par le considérant.
Un seul registre des prestataires tiers TIC consolide groupe, avec identification des concentrations sur un même fournisseur utilise transfrontalierement (Azure, AWS, Swift, Bloomberg).
Une gouvernance unique du risque TIC remontant a un seul organe de direction, même si l'entité detient plusieurs agrements CSSF.

Le piège opérationnel : beaucoup d'acteurs luxembourgeois ont historiquement structure leur conformité TIC par licence (heritage CSSF Circulaires 12/552, 20/750, 22/806). DORA exige desormais une vue consolidee transverse, ce qui implique une refonte des outils de pilotage, pas un simple remapping documentaire.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Unified Cockpit consolide en temps reel l'ensemble de vos obligations TIC transverses a toutes vos licences CSSF et CAA dans une vue unique opposable au régulateur. L'outil se branche en lecture seule sur vos sources existantes (Active Directory, ServiceNow, Jira, Microsoft Defender, Azure Sentinel, registre fournisseurs Odoo ou SAP, contrats stockes sur SharePoint) et reconstruit automatiquement la cartographie consolidee de votre risque TIC, sans demander aux équipes metier de remplir un seul questionnaire supplémentaire.

Detecte et fusionne automatiquement les doublons entre vos registres TIC heritage (un même prestataire Azure declare trois fois sous trois agrements differents devient une seule entree consolidee avec exposition agregee).
Classifie chaque incident detecte selon la taxonomie DORA harmonisee (RTS 2024/1772) et pre-remplit le formulaire de notification CSSF dans les délais réglementaires (notification initiale sous 4h ouvrees, intermédiaire sous 72h, finale sous 1 mois).
Cartographie la concentration de risque sur les prestataires tiers TIC critiques transfrontaliers et alerte des qu'un même fournisseur depasse le seuil de criticite cumule sur plusieurs agrements.
Genere un plan de tests de résilience opérationnelle numérique unique, couvrant toutes vos licences, avec calendrier TLPT triennal pre-construit pour les entités significatives.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CSSF lors du SREP TIC, demontrant l'application coherente et harmonisee de DORA sur l'ensemble du périmètre groupe.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre d'agrements. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer l'incohérence actuelle entre vos registres TIC par licence avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 10

Ils nous font confiance

Avant de discuter