Je dois mettre mon organisation luxembourgeoise en conformité au considérant 102 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 102 DORA — Considérant 102

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 102

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(102)

Étant donné que le présent règlement, conjointement avec la directive (UE) 2022/2556 du Parlement européen et du Conseil (27), consiste en une consolidation des dispositions relatives à la gestion du risque lié aux TIC énoncées dans de multiples règlements et directives de l’acquis de l’Union dans le domaine des services financiers, notamment les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014 et (UE) no 909/2014 et le règlement (UE) 2016/1011 du Parlement européen et du Conseil (28), il convient, afin de garantir une cohérence totale, de modifier lesdits règlements pour y préciser que les dispositions pertinentes applicables au risque lié aux TIC sont énoncées dans le présent règlement.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement DORA et circulaire CSSF associee

Au Luxembourg, la CSSF est l'autorité competente unique pour le contrôle de la mise en œuvre de DORA pour les établissements de crédit, entreprises d'investissement, gestionnaires AIFM, OPCVM, PSF et établissements de paiement. La loi du 1er juin 2023 portant mise en œuvre du règlement DORA et la circulaire CSSF associee precisent que les entités doivent transmettre leur registre d'information sur les prestataires tiers TIC selon le format ESAs harmonise, qui se substitue aux anciennes obligations de reporting eparses sous les circulaires CSSF 20/750 et 22/806.

Pratique Luxgap : nous preparons votre dossier de transposition documentaire en mappant explicitement chaque référence des circulaires CSSF historiques vers les articles DORA correspondants, pour anticiper la question type des inspections CSSF sur la coherence d'ensemble.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant signe la fin d'une ere : avant DORA, les obligations TIC etaient eparpillees dans CRA (agences de notation), EMIR (contreparties centrales), MiFIR (plateformes de negociation), CSDR (depositaires centraux) et BMR (indices de référence). Le piège courant pour les entités régulées CSSF est de continuer a piloter leur conformité TIC en silos par règlement, en oubliant que DORA est desormais la lex specialis qui consolide et harmonise. Les contrôles CSSF post-2025 verifient une coherence d'ensemble, pas un patchwork de procédures historiques.

Les règlements consolides par DORA

Règlement (CE) 1060/2009 sur les agences de notation : les exigences TIC propres aux CRA sont desormais regies par DORA.
Règlement (UE) 648/2012 (EMIR) : les obligations TIC des contreparties centrales et référentiels centraux migrent vers DORA.
Règlement (UE) 600/2014 (MiFIR) : les exigences TIC des APA, ARM et CTP relevent maintenant de DORA.
Règlement (UE) 909/2014 (CSDR) : les depositaires centraux de titres voient leurs obligations TIC harmonisees sous DORA.
Règlement (UE) 2016/1011 (BMR) : les administrateurs d'indices de référence sont concernes par la consolidation.
La directive (UE) 2022/2556 aligne en parallele les directives sectorielles (CRD, Solvency II, MiFID II, UCITS, AIFMD, PSD2, IORP II).

Ce que cela change concretement pour vos procédures

Si votre entité est a la fois CCP et fournit des services MiFIR, vous n'appliquez plus deux corpus TIC distincts : c'est DORA, point. Vos politiques de gestion du risque TIC, vos tests de résilience, votre registre des prestataires tiers TIC et votre procédure d'incident doivent être une seule architecture documentaire unifiée, et non un empilement historique. La CSSF attend une cartographie qui démontré la migration des anciennes références sectorielles vers les articles DORA correspondants.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Crosswalk Engine elimine le risque de pilotage en silos en construisant automatiquement la carte de correspondance entre vos anciennes obligations TIC sectorielles (EMIR, MiFIR, CSDR, BMR, CRA) et les articles DORA qui les remplacent. L'agent IA lit vos procédures internes existantes hébergées sur SharePoint, Confluence ou GED interne, identifié chaque référence a un règlement consolide et propose la reformulation conforme au nouveau cadre DORA.

Analyse automatiquement votre corpus documentaire interne et detecte chaque mention d'EMIR, MiFIR, CSDR, BMR ou CRA dans un contexte TIC.
Genere un tableau de transposition article par article qui mappe l'ancienne référence sectorielle vers l'article DORA equivalent.
Detecte les zones de double pilotage (procédure incident TIC ecrite sous EMIR + procédure incident ecrite sous MiFIR) et propose la fusion sous DORA.
Produit un rapport PDF horodate opposable lors d'un contrôle CSSF, demontrant la coherence d'ensemble exigee par le considérant 102.
Alerte en temps reel via Teams ou Slack quand une nouvelle version d'une procédure est publiee sans avoir intégré la transposition DORA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos procédures reelles, avec un audit blanc gratuit sous 48h pour mesurer votre exposition documentaire avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 102

Ils nous font confiance

Avant de discuter