Je dois mettre mon organisation luxembourgeoise en conformité au considérant 100 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 100 DORA — Considérant 100

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 100

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(100)

Afin de faciliter la comparabilité des rapports sur les incidents majeurs liés aux TIC et les incidents opérationnels ou de sécurité majeurs liés au paiement, ainsi que de garantir la transparence des accords contractuels relatifs à l’utilisation de services TIC fournis par des prestataires tiers de services TIC, les AES devraient élaborer des projets de normes techniques d’exécution établissant des modèles, des formulaires et des procédures normalisés permettant aux entités financières de signaler un incident majeur lié aux TIC et un incident opérationnel ou de sécurité majeur lié au paiement, ainsi que des modèles normalisés pour le registre d’informations. Lors de l’élaboration de ces normes, les AES devraient prendre en considération la taille et le profil de risque global de l’entité financière, ainsi que la nature, l’ampleur et la complexité de ses services, activités et opérations. La Commission devrait être habilitée à adopter ces normes techniques d’exécution par voie d’actes d’exécution en vertu de l’article 291 du traité sur le fonctionnement de l’Union européenne et conformément à l’article 15 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Spécificité Luxembourg

circulaire CSSF 24/847 du 5 avril 2024 relative aux notifications d'incidents au titre de DORA

Au Luxembourg, la CSSF est l'autorité competente désignée pour recevoir les notifications d'incidents majeurs DORA et le registre d'informations annuel. La circulaire CSSF 24/847 précisé les modalites pratiques de déclaration (canal eDesk, formats acceptes, points de contact) et complète les ITS adoptes par la Commission. Les entités supervisees doivent egalement articuler ces notifications avec les obligations historiques de la circulaire CSSF 20/750 sur la gestion du risque TIC.

Pratique Luxgap : nous parametrons le connecteur eDesk CSSF directement dans le DORA Register Synchronizer pour que les soumissions XBRL soient transmises en un clic, avec accuse de reception archive horodate.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant annonce les Implementing Technical Standards (ITS) qui imposent des modèles standardises pour déclarer les incidents majeurs et tenir le registre des accords contractuels TIC. En pratique, les entités financieres luxembourgeoises sous-estiment l'effort : la CSSF attend desormais que le registre d'informations soit livre dans le format EBA exact (taxonomie XBRL, codes LEI, identifiants de fonction critique), et non un Excel maison. Toute incohérence entre le registre transmis et la réalité contractuelle déclenche une demande de remédiation, voire une inspection ciblee.

Ce que le considérant 100 change concretement pour vous

Les déclarations d'incidents majeurs doivent suivre le template ITS (notification initiale sous 4h, intermédiaire sous 72h, finale sous 1 mois) avec champs obligatoires : impact financier, clients affectes, cause racine.
Le registre d'informations devient un livrable annuel structure transmis a la CSSF, qui le relaie aux ESAs pour désigner les CTPP (prestataires tiers critiques).
Le principe de proportionnalite (taille, profil de risque) est intégré dans les ITS eux-memes : une banque privée de 200 ETP ne remplit pas les mêmes champs qu'une grande banque universelle, mais les deux utilisent le même schema.
Toute divergence entre vos contrats reels et le registre declare exposé a une sanction pour déclaration inexacte, en plus du manquement de fond.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Register Synchronizer elimine la corvee manuelle du registre d'informations et garantit qu'a tout instant, votre déclaration CSSF reflete la réalité contractuelle. L'outil se branche directement sur votre CLM (Ironclad, DocuSign CLM, Concord), vos référentiels fournisseurs (Odoo, SAP Ariba, Coupa) et votre ITSM (ServiceNow, Jira) pour reconstituer en continu la cartographie des services TIC, sans demander a votre RCSI de remplir un tableur.

Detecte chaque nouveau contrat TIC des sa signature dans le CLM et le classifie automatiquement comme support de fonction critique ou importante selon la taxonomie ITS.
Genere le registre d'informations au format XBRL exige par les ESAs, avec validation des codes LEI, EUID et identifiants de fonction critique avant transmission CSSF.
Pre-remplit les modèles ITS de notification d'incident (initial, intermédiaire, final) en agregeant les données de Microsoft Sentinel, CrowdStrike Falcon et votre SOC en temps reel.
Alerte instantanement le RCSI sur Teams ou Slack lorsqu'un incident depasse les seuils de materialite DORA (clients affectes, perte economique, durée).
Produit un rapport d'ecart cryptographiquement scelle entre vos contrats reels et le registre declare, opposable lors d'un contrôle CSSF.
Conserve un historique horodate des versions soumises aux ESAs pour démontrer la diligence article 28.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre réglementaire. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos contrats TIC reels, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre votre registre actuel et le format ITS attendu par la CSSF.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 100

Ils nous font confiance

Avant de discuter