Je dois mettre mon organisation luxembourgeoise en conformité au considérant 106 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant rappelle que DORA a ete soumis au contrôle préalable du CEPD (Contrôleur européen de la protection des données) au titre du règlement 2018/1725. En pratique, cela signifié que les obligations DORA, notamment la notification d'incidents TIC majeurs, le partagé de renseignements sur les cybermenaces (article 45) et les tests de penetration TLPT, doivent s'articuler avec le RGPD. Les entités financieres luxembourgeoises supervisees par la CSSF qui negligent cette articulation s'exposent a une double sanction CSSF et CNPD, car la fuite ou le partagé de données lors d'un incident TIC déclenche systématiquement les articles 33 et 34 RGPD.Les points d'articulation DORA-RGPD a ne pas manquerNotification d'incident TIC majeur a la CSSF (article 19 DORA) versus notification de violation a la CNPD sous 72h (article 33 RGPD) : deux délais, deux destinataires, deux formulaires.Partagé de renseignements sur les cybermenaces entre entités financieres (article 45 DORA) : la base légale RGPD doit être documentee, généralement l'intérêt légitime article 6(1)(f) avec mise en balance formalisee.Tests de penetration TLPT (articles 26-27 DORA) : les red teams manipulent souvent des données personnelles reelles, ce qui exige une AIPD préalable et un encadrement contractuel article 28 RGPD strict.Registre des prestataires tiers TIC (article 28 DORA) : doit être coherent avec le registre des activités de traitement article 30 RGPD, sans doublon ni contradiction.Conservation des logs et journaux d'incident TIC : la durée DORA (souvent 5 ans pour la CSSF) doit être justifiee au regard du principe de minimisation RGPD.Comment Luxgap automatise ce risqueNotre Luxgap DORA-RGPD Bridge elimine le risque de double sanction CSSF et CNPD en orchestrant en temps reel les obligations croisees des deux règlements. Des qu'un incident TIC est detecte dans votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon), l'outil déclenche en parallele les deux workflows de notification avec les bons délais, les bons destinataires et les bons formulaires, sans intervention manuelle du RSSI ou du DPO.Detecte automatiquement chaque incident TIC qualifiant via connecteurs natifs Sentinel, Defender XDR, CrowdStrike et Wazuh, et evalue en moins de 60 secondes s'il franchit les seuils DORA article 18 et les critères de violation RGPD article 33.Genere simultanement le formulaire CSSF de notification d'incident TIC majeur et le formulaire CNPD de notification de violation, prerenseignes avec les mêmes elements factuels mais adaptes au vocabulaire de chaque autorité.Synchronise le registre des prestataires tiers TIC article 28 DORA avec le registre des traitements article 30 RGPD pour eviter les incohérences detectees lors des contrôles croises CSSF-CNPD.Produit pour chaque test TLPT une AIPD préalable et un dossier d'encadrement RGPD opposable, incluant la base légale du red team, les mesures de pseudonymisation et la durée de conservation des artefacts.Gen...

Considérant 106 DORA — Considérant 106

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 106

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(106)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (29) et a rendu un avis le 10 mai 2021 (30),

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la CSSF et la CNPD ont signe un protocole d'échange d'informations qui permet la transmission croisee des notifications d'incidents entre les deux autorités. Concretement, une notification d'incident TIC majeur a la CSSF peut être relayee a la CNPD si elle révélé une violation de données personnelles, et vice versa. La loi du 1er aout 2018 portant organisation de la Commission nationale pour la protection des données et la loi du 23 decembre 2016 relative au secteur financier encadrent cette cooperation inter-autorites.

Pratique Luxgap : nous recommandons aux entités financieres luxembourgeoises de préparer une notification unifiée qui anticipe les questions des deux autorités, et de désigner un point de contact unique (souvent le DPO-CISO mutualise) pour eviter les divergences de discours entre CSSF et CNPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant rappelle que DORA a ete soumis au contrôle préalable du CEPD (Contrôleur européen de la protection des données) au titre du règlement 2018/1725. En pratique, cela signifié que les obligations DORA, notamment la notification d'incidents TIC majeurs, le partagé de renseignements sur les cybermenaces (article 45) et les tests de penetration TLPT, doivent s'articuler avec le RGPD. Les entités financieres luxembourgeoises supervisees par la CSSF qui negligent cette articulation s'exposent a une double sanction CSSF et CNPD, car la fuite ou le partagé de données lors d'un incident TIC déclenche systématiquement les articles 33 et 34 RGPD.

Les points d'articulation DORA-RGPD a ne pas manquer

Notification d'incident TIC majeur a la CSSF (article 19 DORA) versus notification de violation a la CNPD sous 72h (article 33 RGPD) : deux délais, deux destinataires, deux formulaires.
Partagé de renseignements sur les cybermenaces entre entités financieres (article 45 DORA) : la base légale RGPD doit être documentee, généralement l'intérêt légitime article 6(1)(f) avec mise en balance formalisee.
Tests de penetration TLPT (articles 26-27 DORA) : les red teams manipulent souvent des données personnelles reelles, ce qui exige une AIPD préalable et un encadrement contractuel article 28 RGPD strict.
Registre des prestataires tiers TIC (article 28 DORA) : doit être coherent avec le registre des activités de traitement article 30 RGPD, sans doublon ni contradiction.
Conservation des logs et journaux d'incident TIC : la durée DORA (souvent 5 ans pour la CSSF) doit être justifiee au regard du principe de minimisation RGPD.

Comment Luxgap automatise ce risque

Notre Luxgap DORA-RGPD Bridge elimine le risque de double sanction CSSF et CNPD en orchestrant en temps reel les obligations croisees des deux règlements. Des qu'un incident TIC est detecte dans votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon), l'outil déclenche en parallele les deux workflows de notification avec les bons délais, les bons destinataires et les bons formulaires, sans intervention manuelle du RSSI ou du DPO.

Detecte automatiquement chaque incident TIC qualifiant via connecteurs natifs Sentinel, Defender XDR, CrowdStrike et Wazuh, et evalue en moins de 60 secondes s'il franchit les seuils DORA article 18 et les critères de violation RGPD article 33.
Genere simultanement le formulaire CSSF de notification d'incident TIC majeur et le formulaire CNPD de notification de violation, prerenseignes avec les mêmes elements factuels mais adaptes au vocabulaire de chaque autorité.
Synchronise le registre des prestataires tiers TIC article 28 DORA avec le registre des traitements article 30 RGPD pour eviter les incohérences detectees lors des contrôles croises CSSF-CNPD.
Produit pour chaque test TLPT une AIPD préalable et un dossier d'encadrement RGPD opposable, incluant la base légale du red team, les mesures de pseudonymisation et la durée de conservation des artefacts.
Genere un rapport PDF horodate cryptographiquement scelle, opposable lors d'un contrôle CSSF ou CNPD, qui démontré l'articulation DORA-RGPD sur 12 mois glissants.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos incidents reels des 12 derniers mois, avec un audit blanc gratuit sous 48h pour mesurer votre exposition a la double sanction avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 106

Ils nous font confiance

Avant de discuter