Je dois mettre mon organisation luxembourgeoise en conformité au considérant 104 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 104 envoie un signal clair : même si les opérateurs de systèmes de paiement et les entités de traitement ne sont pas formellement dans le champ de DORA aujourd'hui, la Commission peut élargir ce périmètre à tout moment, et les États membres sont invités à appliquer dès maintenant des exigences inspirées de DORA. Le piège : un établissement de paiement ou un EMI luxembourgeois qui s'appuie sur un processeur tiers (acquéreur, switch, gateway) considère que ce prestataire est hors DORA et néglige sa due diligence TIC. La CSSF, qui supervise déjà les systèmes de paiement sous la PSD2 et le règlement (UE) 795/2014 de la BCE, peut sanctionner ce manquement au titre de la gouvernance TIC du donneur d'ordre, indépendamment du statut formel du processeur.Ce que ce considérant change concrètement pour les acteurs financiers luxembourgeoisLes systèmes de paiement et les processeurs ne sont pas explicitement listés à l'article 2 de DORA, mais ils deviennent de facto des dépendances critiques que vous devez encadrer comme des prestataires TIC sensibles.La CSSF peut, en pratique, exiger que vos contrats avec un processeur intègrent les clauses de l'article 30 de DORA (droits d'audit, plans de sortie, sous-traitance) même si le processeur lui-même n'est pas régulé par DORA.Une cyberattaque sur votre processeur qui interrompt vos paiements sera traitée comme un incident TIC majeur déclarable au sens de l'article 19, avec la chaîne de responsabilité qui remonte à vous.L'évolution du périmètre est attendue : surveillez le réexamen conjoint DORA / PSD2 (devenue PSD3 / PSR) car les processeurs pourraient être intégrés au régime de supervision des prestataires tiers critiques (CTPP) des ESAs.Anticipez : appliquez dès aujourd'hui la grille de l'article 28 (gestion du risque tiers TIC) à vos relations avec les opérateurs de systèmes de paiement, même si le texte ne vous y oblige pas encore formellement.Comment Luxgap automatise ce risqueNotre Luxgap Payment Chain Sentinel cartographie en continu votre chaîne de paiement complète, depuis le terminal client jusqu'au règlement interbancaire, et applique automatiquement le niveau de contrôle DORA à chaque maillon, même ceux qui ne sont pas formellement régulés. L'outil branche un agent IA sur vos flux Swift, vos contrats acquéreurs (Worldline, Nexi, POST Luxembourg), vos gateways (Stripe, Adyen, Mollie) et votre core banking pour reconstituer la topologie réelle de vos dépendances de paiement, puis confronte chaque relation aux exigences des articles 28 à 30 de DORA et aux attentes prudentielles de la CSSF sur les systèmes de paiement.Détecte automatiquement chaque processeur, switch ou gateway impliqué dans vos flux de paiement en analysant les BIN, les routes Swift, les API gateway et les logs de votre PSP.Évalue le niveau de criticité TIC de chaque maillon selon la méthodologie de l'article 8 de DORA et alerte sur les concentrations excessives sur un même processeur tiers.Génère les a...

Considérant 104 DORA — Considérant 104

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 104

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(104)

L’éventuel cyberrisque systémique associé à l’utilisation d’infrastructures de TIC permettant le fonctionnement des systèmes de paiement et la fourniture d’activités de traitement des paiements devrait être dûment traité au niveau de l’Union au moyen de règles harmonisées en matière de résilience numérique. À cet effet, la Commission devrait évaluer rapidement la nécessité de réexaminer le champ d’application du présent règlement tout en alignant ce réexamen sur les résultats du réexamen exhaustif prévu par la directive (UE) 2015/2366. De nombreuses attaques à grande échelle survenues au cours des dix dernières années montrent que les systèmes de paiement sont exposés aux cybermenaces. Placés au cœur de la chaîne des services de paiement et forts de solides interconnexions avec l’ensemble du système financier, les systèmes de paiement et les activités de traitement des paiements ont acquis une importance cruciale pour le fonctionnement des marchés financiers de l’Union. Les cyberattaques menées contre ces systèmes peuvent entraîner de graves perturbations opérationnelles des activités ayant des répercussions directes sur les fonctions économiques essentielles, telles que la facilitation des paiements, et des effets indirects sur les processus économiques connexes. Jusqu’à ce qu’un régime harmonisé et la supervision des opérateurs de systèmes de paiement et des entités de traitement soient mis en place au niveau de l’Union, les États membres peuvent, en vue d’appliquer des pratiques de marché similaires, s’inspirer des exigences en matière de résilience opérationnelle numérique prévues par le présent règlement lorsqu’ils appliquent des règles aux opérateurs de systèmes de paiement et aux entités de traitement supervisées dans leur propre juridiction.

Spécificité Luxembourg

loi modifiée du 10 novembre 2009 relative aux services de paiement; circulaires CSSF 22/806 et 24/847

Au Luxembourg, la CSSF supervise déjà les systèmes de paiement et les établissements de paiement au titre de la loi modifiée du 10 novembre 2009 relative aux services de paiement et de la loi du 5 avril 1993 sur le secteur financier. La circulaire CSSF 22/806 sur les arrangements d'externalisation, combinée à la circulaire CSSF 24/847 sur la déclaration des incidents TIC, fournit déjà un cadre opérationnel proche de DORA pour les processeurs de paiement, même hors champ formel du règlement.

Pratique Luxgap : intégrez vos processeurs cartes et gateways dans votre registre d'externalisation CSSF 22/806 avec le niveau d'exigence DORA dès aujourd'hui, et préparez la bascule réglementaire en documentant les écarts résiduels dans votre prochain rapport ICT au Conseil.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 104 envoie un signal clair : même si les opérateurs de systèmes de paiement et les entités de traitement ne sont pas formellement dans le champ de DORA aujourd'hui, la Commission peut élargir ce périmètre à tout moment, et les États membres sont invités à appliquer dès maintenant des exigences inspirées de DORA. Le piège : un établissement de paiement ou un EMI luxembourgeois qui s'appuie sur un processeur tiers (acquéreur, switch, gateway) considère que ce prestataire est hors DORA et néglige sa due diligence TIC. La CSSF, qui supervise déjà les systèmes de paiement sous la PSD2 et le règlement (UE) 795/2014 de la BCE, peut sanctionner ce manquement au titre de la gouvernance TIC du donneur d'ordre, indépendamment du statut formel du processeur.

Ce que ce considérant change concrètement pour les acteurs financiers luxembourgeois

Les systèmes de paiement et les processeurs ne sont pas explicitement listés à l'article 2 de DORA, mais ils deviennent de facto des dépendances critiques que vous devez encadrer comme des prestataires TIC sensibles.
La CSSF peut, en pratique, exiger que vos contrats avec un processeur intègrent les clauses de l'article 30 de DORA (droits d'audit, plans de sortie, sous-traitance) même si le processeur lui-même n'est pas régulé par DORA.
Une cyberattaque sur votre processeur qui interrompt vos paiements sera traitée comme un incident TIC majeur déclarable au sens de l'article 19, avec la chaîne de responsabilité qui remonte à vous.
L'évolution du périmètre est attendue : surveillez le réexamen conjoint DORA / PSD2 (devenue PSD3 / PSR) car les processeurs pourraient être intégrés au régime de supervision des prestataires tiers critiques (CTPP) des ESAs.
Anticipez : appliquez dès aujourd'hui la grille de l'article 28 (gestion du risque tiers TIC) à vos relations avec les opérateurs de systèmes de paiement, même si le texte ne vous y oblige pas encore formellement.

Comment Luxgap automatise ce risque

Notre Luxgap Payment Chain Sentinel cartographie en continu votre chaîne de paiement complète, depuis le terminal client jusqu'au règlement interbancaire, et applique automatiquement le niveau de contrôle DORA à chaque maillon, même ceux qui ne sont pas formellement régulés. L'outil branche un agent IA sur vos flux Swift, vos contrats acquéreurs (Worldline, Nexi, POST Luxembourg), vos gateways (Stripe, Adyen, Mollie) et votre core banking pour reconstituer la topologie réelle de vos dépendances de paiement, puis confronte chaque relation aux exigences des articles 28 à 30 de DORA et aux attentes prudentielles de la CSSF sur les systèmes de paiement.

Détecte automatiquement chaque processeur, switch ou gateway impliqué dans vos flux de paiement en analysant les BIN, les routes Swift, les API gateway et les logs de votre PSP.
Évalue le niveau de criticité TIC de chaque maillon selon la méthodologie de l'article 8 de DORA et alerte sur les concentrations excessives sur un même processeur tiers.
Génère les avenants contractuels conformes à l'article 30 prêts à signer, déclinés par typologie de prestataire (acquéreur, switch domestique, processeur cartes, gateway e-commerce).
Simule trimestriellement un scénario de défaillance de chaque processeur critique et calcule l'impact sur votre RTO / RPO, conformément à l'article 11 de DORA.
Produit un rapport PDF horodaté opposable à la CSSF, démontrant que votre gouvernance TIC traite les processeurs de paiement avec le même niveau d'exigence que les prestataires formellement couverts par DORA.
Surveille les publications de la Commission, de l'EBA et de la BCE pour vous alerter dès qu'un élargissement du périmètre DORA aux opérateurs de systèmes de paiement est officialisé.

Disponible en complément d'un mandat CISO ou DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre chaîne de paiement réelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition processeur avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 104

Ils nous font confiance

Avant de discuter