Le piège classique
Ce considérant signale une refonte legislative majeure : DORA absorbe les dispositions de résilience opérationnelle numérique dispersees dans cinq règlements sectoriels (agences de notation, EMIR, MiFIR, CSDR, benchmarks). En pratique, la CSSF sanctionné deja les entités financieres qui continuent a piloter leur risque TIC en se referant uniquement aux anciens règlements sectoriels, sans avoir realise la mapping exercise entre l'ancien cadre et les nouvelles obligations DORA. Le piège est de croire que sa conformité EMIR ou MiFIR vaut conformité DORA.
Les chevauchements a tracer absolument
- Règlement (CE) 1060/2009 (CRA) : exigences de continuite opérationnelle des agences de notation, desormais sous l'empire de DORA.
- Règlement (UE) 648/2012 (EMIR) : obligations TIC des contreparties centrales et référentiels centraux, transférées vers DORA.
- Règlement (UE) 600/2014 (MiFIR) : exigences opérationnelles des APA, ARM et CTP.
- Règlement (UE) 909/2014 (CSDR) : continuite opérationnelle des depositaires centraux.
- Règlement (UE) 2016/1011 (BMR) : robustesse opérationnelle des administrateurs d'indices de référence.
- Tous les actes délégués et d'exécution pris sur ces bases doivent être relus a l'aune de DORA pour identifier les zones de chevauchement, d'abrogation tacite ou de coexistence.
Le test de conformité croisee
Pour chaque article de votre cartographie réglementaire interne qui derive d'un de ces cinq règlements, la question devient : cette obligation est-elle desormais regie par DORA, ou conserve-t-elle une existence propre ? Une mauvaise réponse conduit a deux risques symetriques : la sur-conformite couteuse (vous appliquez deux fois la même exigence) ou la sous-conformite sanctionnable (vous croyez l'ancienne disposition encore valable alors qu'elle a ete absorbee).
Comment Luxgap automatise ce risque
Notre Luxgap Regulatory Crosswalk Engine elimine la zone grise entre l'ancien cadre sectoriel et DORA en construisant automatiquement la matrice de correspondance article par article, exigence par exigence. L'outil ingere votre cartographie réglementaire existante (extracts Confluence, SharePoint, GRC type ServiceNow, MetricStream ou Archer) et croise chaque obligation TIC heritee d'EMIR, MiFIR, CSDR, CRA ou BMR avec les articles DORA correspondants, en s'appuyant sur les RTS publies par les AES.
- Detecte dans votre référentiel de contrôles internes chaque obligation issue des cinq règlements sectoriels mentionnés par le considérant 103.
- Classifie chaque exigence en transférée vers DORA, maintenue dans le règlement sectoriel ou doublonnee, avec citation du RTS ou de l'article DORA applicable.
- Alerte par connecteur Teams ou Slack lorsqu'un nouveau RTS DORA publie par les AES modifie le statut d'une exigence deja cartographiee.
- Genere un rapport PDF horodate opposable a la CSSF lors d'une inspection thematique résilience opérationnelle, demontrant la maîtrise du transfert réglementaire.
- Synchronise automatiquement les contrôles obsoletes dans votre GRC pour eviter la sur-conformite couteuse et liberer du budget audit interne.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie réglementaire reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux chevauchements DORA avant tout engagement.
