Je dois mettre mon organisation luxembourgeoise en conformité au considérant 105 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant justifie le choix d'un règlement (applicable directement) plutot qu'une directive : la CSSF n'aura pas a attendre une transposition luxembourgeoise pour contrôler la résilience opérationnelle numérique. Le piège classique des entités financieres régulées au Luxembourg est de croire qu'une loi nationale viendra préciser ou assouplir le texte : c'est faux. DORA s'applique tel quel depuis le 17 janvier 2025, et la CSSF aligne deja ses inspections sur les standards techniques (RTS/ITS) adoptes par les ESAs, sans marge de manoeuvre locale.Ce que la subsidiarite et la proportionnalite changent en pratiqueLe principe de proportionnalite est explicitement code dans DORA (art. 4) : votre cadre TIC doit être adapte a votre taille, profil de risque, nature et complexité, mais cette modulation ne dispense d'aucun pilier (gouvernance, gestion des risques TIC, incidents, tests, tiers, partagé d'information).L'harmonisation maximale visée par ce considérant signifié qu'une banque LU, une fintech régulière CSSF et une succursale d'assureur traitent les mêmes exigences de fond que leurs homologues français, allemands ou irlandais : exit les arbitrages réglementaires intra-UE.Les standards techniques (RTS sur la gestion des risques TIC, ITS sur le registre d'information des prestataires tiers) deviennent le référentiel d'audit CSSF, sans interprétation nationale possible.Pour les groupes transfrontaliers, la coherence du cadre groupe devient opposable : impossible de justifier un niveau de maturite moindre sur la filiale luxembourgeoise au motif d'une spécificité locale.Comment Luxgap automatise ce risqueNotre Luxgap Proportionality Profiler transforme le principe abstrait de proportionnalite en un dossier defendable devant la CSSF en moins de 72 heures. L'outil interroge automatiquement vos systèmes (Active Directory, registre des contrats Odoo ou SAP, CMDB ServiceNow, telemetrie Microsoft Defender, exports CSSF eDesk) pour calculer votre profil de risque TIC reel et le confronter aux 5 piliers DORA, en livrant un positionnement justifie sur chaque exigence : applicable intégralement, applicable de manière allegee, ou hors périmètre.Calcule un score de complexité TIC base sur le nombre d'actifs critiques, le volume de transactions, la dependance aux prestataires tiers et la criticite des fonctions externalisées.Genere pour chaque exigence DORA une fiche de positionnement justifiee, citant l'article concerne, le RTS applicable et la base factuelle interne qui motive le niveau retenu.Detecte les incohérences entre le profil declare et la réalité opérationnelle (ex : entité qualifiée de microenterprise mais avec 40 prestataires TIC critiques recenses dans le registre).Produit le registre d'information des prestataires tiers au format ITS attendu par la CSSF, pre-rempli depuis vos contrats existants.Met à jour le positionnement en continu des qu'un événement matériel modifie le profil (acquisition, nouvelle ligne metier, migration ...

Considérant 105 DORA — Considérant 105

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 105

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(105)

Étant donné que l’objectif du présent règlement, à savoir atteindre un niveau élevé de résilience opérationnelle numérique pour toutes les entités financières réglementées, ne peut pas être atteint de manière suffisante par les États membres, puisqu’il suppose d’harmoniser différentes règles du droit de l’Union et du droit national, mais qu’il peut, en raison de ses dimensions et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente désignée pour la supervision DORA des entités financieres relevant de son périmètre (banques, PSF, fonds, gestionnaires, établissements de paiement et EMI), et le CAA pour les entreprises d'assurance et de reassurance. La loi du 1er aout 2024 portant mise en œuvre du règlement DORA désigné les autorités competentes nationales et adapte les pouvoirs de sanction CSSF/CAA, sans créer d'obligations de fond supplémentaires : le texte UE s'applique intégralement.

Pratique Luxgap : pour les groupes établis a Luxembourg, alignez votre registre d'information des prestataires tiers sur le format ITS attendu par la CSSF des le premier reporting annuel, en y integrant les hebergeurs souverains LU (LuxConnect, eBRC, POST) avec leur qualification de criticite documentee.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant justifie le choix d'un règlement (applicable directement) plutot qu'une directive : la CSSF n'aura pas a attendre une transposition luxembourgeoise pour contrôler la résilience opérationnelle numérique. Le piège classique des entités financieres régulées au Luxembourg est de croire qu'une loi nationale viendra préciser ou assouplir le texte : c'est faux. DORA s'applique tel quel depuis le 17 janvier 2025, et la CSSF aligne deja ses inspections sur les standards techniques (RTS/ITS) adoptes par les ESAs, sans marge de manoeuvre locale.

Ce que la subsidiarite et la proportionnalite changent en pratique

Le principe de proportionnalite est explicitement code dans DORA (art. 4) : votre cadre TIC doit être adapte a votre taille, profil de risque, nature et complexité, mais cette modulation ne dispense d'aucun pilier (gouvernance, gestion des risques TIC, incidents, tests, tiers, partagé d'information).
L'harmonisation maximale visée par ce considérant signifié qu'une banque LU, une fintech régulière CSSF et une succursale d'assureur traitent les mêmes exigences de fond que leurs homologues français, allemands ou irlandais : exit les arbitrages réglementaires intra-UE.
Les standards techniques (RTS sur la gestion des risques TIC, ITS sur le registre d'information des prestataires tiers) deviennent le référentiel d'audit CSSF, sans interprétation nationale possible.
Pour les groupes transfrontaliers, la coherence du cadre groupe devient opposable : impossible de justifier un niveau de maturite moindre sur la filiale luxembourgeoise au motif d'une spécificité locale.

Comment Luxgap automatise ce risque

Notre Luxgap Proportionality Profiler transforme le principe abstrait de proportionnalite en un dossier defendable devant la CSSF en moins de 72 heures. L'outil interroge automatiquement vos systèmes (Active Directory, registre des contrats Odoo ou SAP, CMDB ServiceNow, telemetrie Microsoft Defender, exports CSSF eDesk) pour calculer votre profil de risque TIC reel et le confronter aux 5 piliers DORA, en livrant un positionnement justifie sur chaque exigence : applicable intégralement, applicable de manière allegee, ou hors périmètre.

Calcule un score de complexité TIC base sur le nombre d'actifs critiques, le volume de transactions, la dependance aux prestataires tiers et la criticite des fonctions externalisées.
Genere pour chaque exigence DORA une fiche de positionnement justifiee, citant l'article concerne, le RTS applicable et la base factuelle interne qui motive le niveau retenu.
Detecte les incohérences entre le profil declare et la réalité opérationnelle (ex : entité qualifiée de microenterprise mais avec 40 prestataires TIC critiques recenses dans le registre).
Produit le registre d'information des prestataires tiers au format ITS attendu par la CSSF, pre-rempli depuis vos contrats existants.
Met à jour le positionnement en continu des qu'un événement matériel modifie le profil (acquisition, nouvelle ligne metier, migration cloud) et alerte le CISO et le DPO.
Edite un rapport PDF horodate, opposable lors d'une inspection CSSF, qui démontré que votre application proportionnée de DORA repose sur une analyse documentee et non sur une auto-evaluation déclarative.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 105

Ils nous font confiance

Avant de discuter