Je dois mettre mon organisation luxembourgeoise en conformité au considérant 11 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant pose la philosophie de DORA : combler le vide laisse par le Single Rulebook qui n'avait pas de cadre TIC harmonise. La CSSF s'en sert pour justifier une lecture stricte et uniforme, sans tolerance pour les approches nationales antérieures ou les pratiques sectorielles divergentes (banque vs assurance vs gestion d'actifs). Les entités financieres luxembourgeoises qui pensaient s'appuyer sur la circulaire CSSF 20/750 ou sur les EBA Guidelines on ICT and security risk management comme cadre suffisant decouvrent que DORA remplace et durcit ces références, sans coexistence.Ce que ce considérant change concretement dans votre mise en œuvreFin de la regulatory arbitrage : une succursale luxembourgeoise d'un groupe allemand ne peut plus invoquer un standard groupe moins-disant ; les exigences clés sont identiques pour toutes les entités financieres de l'UE.Article 114 TFUE comme base juridique : la CSSF appliquera DORA en harmonie maximale avec EIOPA, l'ESMA et l'EBA, sans marge nationale de souplesse sur les exigences clés (gestion du risque TIC, incidents, tests, tiers).Le considérant lié explicitement résilience opérationnelle numérique et protection des investisseurs/consommateurs : une defaillance TIC devient une atteinte au mandat prudentiel, pas un simple incident IT.Les anciennes circulaires sectorielles (CSSF 20/750, CSSF 22/806 sur l'externalisation) restent applicables uniquement sur les points NON couverts par DORA ; tout chevauchement se tranche en faveur de DORA.L'argument "on est trop petit pour ces exigences" ne tient plus : DORA prevoit un principe de proportionnalite, mais les exigences clés s'appliquent a TOUTES les entités financieres régulées, du FSP de 8 personnes a la banque systemique.Comment Luxgap automatise ce risqueNotre Luxgap DORA Readiness Radar transforme la lecture exhaustive de DORA, des RTS/ITS associes et des circulaires CSSF survivantes en une cartographie vivante de votre exposition réglementaire. L'outil ingere votre référentiel documentaire (politiques TIC sur SharePoint, contrats sur Odoo ou DocuSign, configurations Microsoft Defender, Azure Sentinel, journaux CrowdStrike) et confronte automatiquement chaque exigence clé de DORA a votre réalité opérationnelle, sans questionnaire a remplir par votre RSSI.Cartographie en temps reel les 5 piliers DORA (gouvernance TIC, incidents, tests, tiers, partagé d'informations) face a vos politiques internes et detecte les gaps textuels et opérationnels.Identifié les clauses de vos circulaires CSSF historiques (20/750, 22/806, 24/856) qui sont superposees, remplacees ou durcies par DORA, et propose la version consolidee opposable.Calcule un score de readiness par pilier, ventile par entité juridique de votre groupe luxembourgeois, et projette le chemin critique vers la conformité.Alerte par Teams ou email des qu'un nouveau RTS/ITS publie au JOUE modifie une exigence clé ou qu'une orientation conjointe ESAs précisé un point en suspens.Produit ...

Considérant 11 DORA — Considérant 11

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 11

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(11)

Étant donné que le corpus réglementaire unique n’a pas été accompagné d’un cadre exhaustif applicable au risque lié aux TIC ou au risque opérationnel, il est nécessaire de procéder à une harmonisation plus poussée des exigences clés en matière de résilience opérationnelle numérique pour toutes les entités financières. Le renforcement des capacités en matière de TIC et la résilience globale des entités financières, sur la base de ces exigences clés, en vue de faire face aux interruptions de fonctionnement, contribueraient à préserver la stabilité et l’intégrité des marchés financiers de l’Union et donc à assurer un niveau élevé de protection des investisseurs et des consommateurs dans l’Union. Dans la mesure où le présent règlement se veut une contribution au fonctionnement harmonieux du marché intérieur, il devrait reposer sur les dispositions de l’article 114 du traité sur le fonctionnement de l’Union européenne, interprétées conformément à la jurisprudence constante de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice»).

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la loi du 1er aout 2024 portant mise en œuvre du règlement DORA désigné la CSSF et le Commissariat aux Assurances (CAA) comme autorités competentes selon le type d'entité, et modifie la loi sectorielle de 1993 pour articuler DORA avec le cadre prudentiel existant. Les circulaires CSSF 20/750 (risque TIC et sécurité) et CSSF 22/806 (externalisation) restent applicables sur les zones non couvertes par DORA, mais perdent leur primaute des qu'un point est traite par DORA ou ses RTS/ITS.

Pratique Luxgap : avant tout chantier DORA, etablissez un tableau d'articulation a trois colonnes (exigence DORA / clause circulaire CSSF existante / règle applicable) ; c'est le premier document que demande la CSSF lors d'une visite thematique.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant pose la philosophie de DORA : combler le vide laisse par le Single Rulebook qui n'avait pas de cadre TIC harmonise. La CSSF s'en sert pour justifier une lecture stricte et uniforme, sans tolerance pour les approches nationales antérieures ou les pratiques sectorielles divergentes (banque vs assurance vs gestion d'actifs). Les entités financieres luxembourgeoises qui pensaient s'appuyer sur la circulaire CSSF 20/750 ou sur les EBA Guidelines on ICT and security risk management comme cadre suffisant decouvrent que DORA remplace et durcit ces références, sans coexistence.

Ce que ce considérant change concretement dans votre mise en œuvre

Fin de la regulatory arbitrage : une succursale luxembourgeoise d'un groupe allemand ne peut plus invoquer un standard groupe moins-disant ; les exigences clés sont identiques pour toutes les entités financieres de l'UE.
Article 114 TFUE comme base juridique : la CSSF appliquera DORA en harmonie maximale avec EIOPA, l'ESMA et l'EBA, sans marge nationale de souplesse sur les exigences clés (gestion du risque TIC, incidents, tests, tiers).
Le considérant lié explicitement résilience opérationnelle numérique et protection des investisseurs/consommateurs : une defaillance TIC devient une atteinte au mandat prudentiel, pas un simple incident IT.
Les anciennes circulaires sectorielles (CSSF 20/750, CSSF 22/806 sur l'externalisation) restent applicables uniquement sur les points NON couverts par DORA ; tout chevauchement se tranche en faveur de DORA.
L'argument "on est trop petit pour ces exigences" ne tient plus : DORA prevoit un principe de proportionnalite, mais les exigences clés s'appliquent a TOUTES les entités financieres régulées, du FSP de 8 personnes a la banque systemique.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Readiness Radar transforme la lecture exhaustive de DORA, des RTS/ITS associes et des circulaires CSSF survivantes en une cartographie vivante de votre exposition réglementaire. L'outil ingere votre référentiel documentaire (politiques TIC sur SharePoint, contrats sur Odoo ou DocuSign, configurations Microsoft Defender, Azure Sentinel, journaux CrowdStrike) et confronte automatiquement chaque exigence clé de DORA a votre réalité opérationnelle, sans questionnaire a remplir par votre RSSI.

Cartographie en temps reel les 5 piliers DORA (gouvernance TIC, incidents, tests, tiers, partagé d'informations) face a vos politiques internes et detecte les gaps textuels et opérationnels.
Identifié les clauses de vos circulaires CSSF historiques (20/750, 22/806, 24/856) qui sont superposees, remplacees ou durcies par DORA, et propose la version consolidee opposable.
Calcule un score de readiness par pilier, ventile par entité juridique de votre groupe luxembourgeois, et projette le chemin critique vers la conformité.
Alerte par Teams ou email des qu'un nouveau RTS/ITS publie au JOUE modifie une exigence clé ou qu'une orientation conjointe ESAs précisé un point en suspens.
Produit un dossier de preuve PDF horodate, structure selon la grille d'inspection CSSF, demontrant que votre gouvernance TIC repond aux exigences clés harmonisees visees au considérant 11.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre ecart aux exigences clés DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 11

Ils nous font confiance

Avant de discuter