Je dois mettre mon organisation luxembourgeoise en conformité au considérant 101 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant annonce une réalité opérationnelle souvent ignoree : DORA ne remplace pas les RTS et ITS existants issus des règlements CRA (1060/2009), EMIR (648/2012), MiFIR (600/2014) et CSDR (909/2014), il les reprend et actualise. En pratique, la CSSF contrôle la coherence entre votre dispositif DORA et les obligations TIC deja en vigueur sous ces règlements sectoriels. Les entités qui traitent DORA comme un nouveau silo, deconnecte de leurs obligations EMIR ou CSDR, se retrouvent avec des politiques contradictoires sur le même système critique.L'empilement réglementaire a cartographierLe considérant 101 impose une lecture transversale. Un depositaire central luxembourgeois sous CSDR doit deja gérer ses risques TIC selon l'article 45 du règlement 909/2014 et ses RTS associes. DORA vient ajouter, harmoniser et durcir, mais ne supprime pas. Les points de friction concrets :Une contrepartie centrale (CCP) sous EMIR a deja des exigences de continuite TIC : DORA y superpose les TLPT et le registre des prestataires tiers.Une agence de notation sous CRA a deja des obligations d'intégrité des systèmes d'information : DORA y ajoute la notification d'incidents majeurs harmonisee.Une plateforme de negociation sous MiFIR a deja des exigences de résilience opérationnelle : DORA y impose le cadre de tests avances.Les futurs RTS publies par les ESAs (EBA, ESMA, EIOPA) via le Joint Committee viennent préciser articles 15, 16, 18, 28 et 30 de DORA et doivent être intégrés au fil de l'eau dans vos politiques internes.Comment Luxgap automatise ce risqueNotre Luxgap Regulatory Overlay Mapper elimine le risque d'angle mort multi-reglementaire en projetant automatiquement vos obligations DORA sur la matrice des RTS et ITS preexistants sous CRA, EMIR, MiFIR et CSDR. L'outil ingere votre licence CSSF, vos politiques TIC actuelles et les flux ESMA/EBA/EIOPA pour produire une cartographie vivante des exigences applicables a chaque système critique, mise à jour des qu'un nouveau RTS DORA est publie au JOUE.Detecte automatiquement votre périmètre réglementaire reel à partir de votre statut CSSF et de vos activités declarees, sans questionnaire fastidieux.Croise chaque exigence DORA (articles 5 a 30) avec les RTS et ITS existants sous 1060/2009, 648/2012, 600/2014 et 909/2014 pour identifier doublons, conflits et zones grises.Alerte en temps reel via Teams ou Slack des qu'un nouveau RTS, ITS ou Q&A est publie par le Joint Committee des ESAs et impacte vos systèmes critiques.Genere une matrice de conformité consolidee par système critique, exportable au format CSSF pour les revues annuelles de gouvernance TIC.Produit un rapport PDF horodate opposable lors d'une inspection CSSF, demontrant la prise en compte coordonnee de DORA et des règlements sectoriels preexistants.Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre réglementaire. Demandez un devis personnalise et nos équipes preparent une demonstra...

Considérant 101 DORA — Considérant 101

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 101

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(101)

Étant donné que des exigences supplémentaires ont déjà été définies au moyen d’actes délégués et d’actes d’exécution fondés sur des normes techniques de réglementation ou des normes techniques d’exécution dans les règlements (CE) no 1060/2009 (23), (UE) no 648/2012 (24), (UE) no 600/2014 (25) et (UE) no 909/2014 (26) du Parlement européen et du Conseil, il convient de charger les AES, soit individuellement, soit conjointement par l’intermédiaire du comité mixte, de soumettre des normes techniques de réglementation et des normes techniques d’exécution à la Commission en vue de l’adoption d’actes délégués et d’actes d’exécution reprenant et actualisant les règles existantes en matière de gestion du risque lié aux TIC.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant annonce une réalité opérationnelle souvent ignoree : DORA ne remplace pas les RTS et ITS existants issus des règlements CRA (1060/2009), EMIR (648/2012), MiFIR (600/2014) et CSDR (909/2014), il les reprend et actualise. En pratique, la CSSF contrôle la coherence entre votre dispositif DORA et les obligations TIC deja en vigueur sous ces règlements sectoriels. Les entités qui traitent DORA comme un nouveau silo, deconnecte de leurs obligations EMIR ou CSDR, se retrouvent avec des politiques contradictoires sur le même système critique.

L'empilement réglementaire a cartographier

Le considérant 101 impose une lecture transversale. Un depositaire central luxembourgeois sous CSDR doit deja gérer ses risques TIC selon l'article 45 du règlement 909/2014 et ses RTS associes. DORA vient ajouter, harmoniser et durcir, mais ne supprime pas. Les points de friction concrets :

Une contrepartie centrale (CCP) sous EMIR a deja des exigences de continuite TIC : DORA y superpose les TLPT et le registre des prestataires tiers.
Une agence de notation sous CRA a deja des obligations d'intégrité des systèmes d'information : DORA y ajoute la notification d'incidents majeurs harmonisee.
Une plateforme de negociation sous MiFIR a deja des exigences de résilience opérationnelle : DORA y impose le cadre de tests avances.
Les futurs RTS publies par les ESAs (EBA, ESMA, EIOPA) via le Joint Committee viennent préciser articles 15, 16, 18, 28 et 30 de DORA et doivent être intégrés au fil de l'eau dans vos politiques internes.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Overlay Mapper elimine le risque d'angle mort multi-reglementaire en projetant automatiquement vos obligations DORA sur la matrice des RTS et ITS preexistants sous CRA, EMIR, MiFIR et CSDR. L'outil ingere votre licence CSSF, vos politiques TIC actuelles et les flux ESMA/EBA/EIOPA pour produire une cartographie vivante des exigences applicables a chaque système critique, mise à jour des qu'un nouveau RTS DORA est publie au JOUE.

Detecte automatiquement votre périmètre réglementaire reel à partir de votre statut CSSF et de vos activités declarees, sans questionnaire fastidieux.
Croise chaque exigence DORA (articles 5 a 30) avec les RTS et ITS existants sous 1060/2009, 648/2012, 600/2014 et 909/2014 pour identifier doublons, conflits et zones grises.
Alerte en temps reel via Teams ou Slack des qu'un nouveau RTS, ITS ou Q&A est publie par le Joint Committee des ESAs et impacte vos systèmes critiques.
Genere une matrice de conformité consolidee par système critique, exportable au format CSSF pour les revues annuelles de gouvernance TIC.
Produit un rapport PDF horodate opposable lors d'une inspection CSSF, demontrant la prise en compte coordonnee de DORA et des règlements sectoriels preexistants.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre réglementaire. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre licence CSSF reelle, avec un audit blanc gratuit sous 48h pour cartographier votre empilement réglementaire avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 101

Ils nous font confiance

Avant de discuter