Je dois mettre mon organisation luxembourgeoise en conformité au considérant 12 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 12 explique pourquoi DORA existe : avant, le risque TIC etait noye dans le risque opérationnel et traite par une exigence quantitative en fonds propres (pilier 2 Bale, Solvabilite II). Résultat : les entités financieres provisionnaient du capital mais ne testaient pas leur capacite reelle a détecter, contenir et restaurer après un incident cyber. La CSSF sanctionné aujourd'hui exactement ce decalage : un dispositif TIC purement déclaratif, sans preuve qualitative de protection, détection, confinement, retablissement et réparation, n'est plus suffisant même si les ratios prudentiels sont verts.Ce que ce considérant change dans votre interprétation des articlesQuand un article DORA semble ambigu, ce considérant impose une lecture qualitative et fonctionnelle, pas quantitative. Concretement :L'article 6 (cadre de gestion du risque TIC) doit être lu comme une obligation de capacites opérationnelles démontrables, pas comme un document de politique.Les articles 17 a 23 (gestion des incidents) imposent des capacites de détection et de notification mesurables, pas une simple procédure ecrite.Les articles 24 a 27 (tests de résilience) materialisent l'exigence qualitative : on ne provisionne plus le risque, on le teste.Les articles 28 a 44 (tiers TIC) etendent la logique qualitative a toute la chaîne d'externalisation, y compris les sous-traitants en cascade.La terminologie DORA prevaut sur celle des actes anterieurs (CRD, MiFID II, Solvabilite II, AIFMD) en cas de divergence sur le risque TIC.En pratique devant la CSSF, l'argument nous respectons deja CRD IV sur le risque opérationnel ne tient plus : DORA exige la preuve des cinq capacites (protection, détection, confinement, retablissement, réparation) plus la notification et les tests, independamment du dispositif prudentiel existant.Comment Luxgap automatise ce risqueNotre Luxgap DORA Capability Mapper transforme l'intention qualitative du considérant 12 en preuve opposable a la CSSF. L'outil cartographie en continu vos cinq capacites opérationnelles (protection, détection, confinement, retablissement, réparation) en croisant les signaux de votre SOC (Microsoft Sentinel, CrowdStrike Falcon, Wazuh), de votre ITSM (ServiceNow, Jira), de votre EDR et de vos runbooks d'incident, puis confronte la réalité observee aux exigences DORA articles 6 a 27.Scanne automatiquement votre tenant Azure, Sentinel et Defender pour calculer un score de maturite par capacite, mis à jour toutes les 24 heures.Detecte les zones aveugles ou une capacite est documentee dans la politique mais absente des logs opérationnels (typiquement : confinement réseau théorique mais aucune segmentation effective).Classifie chaque incident TIC selon la grille DORA et pre-remplit le formulaire de notification CSSF avec les délais réglementaires (alerte initiale, intermédiaire, finale).Genere un rapport de maturite DORA horodate et signe cryptographiquement, opposable lors d'une inspection sur place CSSF, qui...

Considérant 12 DORA — Considérant 12

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 12

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(12)

Le présent règlement vise à consolider et à mettre à niveau les exigences en matière de risque lié aux TIC dans le cadre des exigences en matière de risque opérationnel qui ont, jusqu’à présent, été scindées dans divers actes juridiques de l’Union. Si ces actes couvraient les principales catégories de risques financiers (par exemple, le risque de crédit, le risque de marché, le risque de crédit de contrepartie et le risque de liquidité, le risque lié à la conduite sur le marché), ils n’ont pas, au moment de leur adoption, couvert de manière exhaustive toutes les composantes de la résilience opérationnelle. Ces actes juridiques de l’Union, lorsqu’ils ont précisé les règles en matière de risque opérationnel, ont souvent favorisé une approche quantitative classique de la gestion du risque (à savoir, la définition d’une exigence de fonds propres pour couvrir le risque lié aux TIC) plutôt que des règles qualitatives ciblées en matière de protection, de détection, de confinement, de rétablissement et de réparation en cas d’incidents liés aux TIC ou en matière de capacités de notification et de tests numériques. Ces actes étaient principalement destinés à définir et à actualiser les règles essentielles en matière de surveillance prudentielle, d’intégrité du marché ou de conduite sur le marché. Par la consolidation et l’actualisation des différentes règles relatives au risque lié aux TIC, toutes les dispositions traitant du risque lié aux TIC dans le secteur financier seraient pour la première fois réunies de manière cohérente dans un seul et même acte législatif. Par conséquent, le présent règlement comble les lacunes ou remédie aux incohérences de certains des actes juridiques antérieurs, notamment en ce qui concerne la terminologie qui y est utilisée, et fait explicitement référence au risque lié aux TIC au travers de règles ciblées sur les capacités de gestion du risque lié aux TIC, la notification des incidents et les tests de résilience opérationnelle, ainsi que le suivi des risques des tiers liés aux TIC. Le présent règlement devrait donc également mieux sensibiliser au risque lié aux TIC et souligner que les incidents liés aux TIC et l’absence de résilience opérationnelle sont susceptibles de compromettre la solidité des entités financières.

Spécificité Luxembourg

loi luxembourgeoise du 1er juillet 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente désignée pour DORA et a publie sa circulaire 24/847 sur la notification des incidents TIC, qui prevaut desormais sur l'ancienne circulaire 20/750 (cadre de gestion des risques TIC) pour les aspects couverts par DORA. La loi du 1er juillet 2024 portant mise en œuvre du règlement DORA désigné formellement la CSSF et le CAA comme autorités competentes selon le type d'entité, et adapte la loi du 5 avril 1993 sur le secteur financier ainsi que la loi du 7 decembre 2015 sur le secteur des assurances.

Pratique Luxgap : pour une entité supervisee CSSF, l'argument 'nous appliquons deja la circulaire 12/552 sur la gouvernance' ne suffit plus, la CSSF attend la preuve des cinq capacites qualitatives DORA tracees dans vos logs opérationnels, pas seulement dans vos politiques internes.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 12 explique pourquoi DORA existe : avant, le risque TIC etait noye dans le risque opérationnel et traite par une exigence quantitative en fonds propres (pilier 2 Bale, Solvabilite II). Résultat : les entités financieres provisionnaient du capital mais ne testaient pas leur capacite reelle a détecter, contenir et restaurer après un incident cyber. La CSSF sanctionné aujourd'hui exactement ce decalage : un dispositif TIC purement déclaratif, sans preuve qualitative de protection, détection, confinement, retablissement et réparation, n'est plus suffisant même si les ratios prudentiels sont verts.

Ce que ce considérant change dans votre interprétation des articles

Quand un article DORA semble ambigu, ce considérant impose une lecture qualitative et fonctionnelle, pas quantitative. Concretement :

L'article 6 (cadre de gestion du risque TIC) doit être lu comme une obligation de capacites opérationnelles démontrables, pas comme un document de politique.
Les articles 17 a 23 (gestion des incidents) imposent des capacites de détection et de notification mesurables, pas une simple procédure ecrite.
Les articles 24 a 27 (tests de résilience) materialisent l'exigence qualitative : on ne provisionne plus le risque, on le teste.
Les articles 28 a 44 (tiers TIC) etendent la logique qualitative a toute la chaîne d'externalisation, y compris les sous-traitants en cascade.
La terminologie DORA prevaut sur celle des actes anterieurs (CRD, MiFID II, Solvabilite II, AIFMD) en cas de divergence sur le risque TIC.

En pratique devant la CSSF, l'argument nous respectons deja CRD IV sur le risque opérationnel ne tient plus : DORA exige la preuve des cinq capacites (protection, détection, confinement, retablissement, réparation) plus la notification et les tests, independamment du dispositif prudentiel existant.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Capability Mapper transforme l'intention qualitative du considérant 12 en preuve opposable a la CSSF. L'outil cartographie en continu vos cinq capacites opérationnelles (protection, détection, confinement, retablissement, réparation) en croisant les signaux de votre SOC (Microsoft Sentinel, CrowdStrike Falcon, Wazuh), de votre ITSM (ServiceNow, Jira), de votre EDR et de vos runbooks d'incident, puis confronte la réalité observee aux exigences DORA articles 6 a 27.

Scanne automatiquement votre tenant Azure, Sentinel et Defender pour calculer un score de maturite par capacite, mis à jour toutes les 24 heures.
Detecte les zones aveugles ou une capacite est documentee dans la politique mais absente des logs opérationnels (typiquement : confinement réseau théorique mais aucune segmentation effective).
Classifie chaque incident TIC selon la grille DORA et pre-remplit le formulaire de notification CSSF avec les délais réglementaires (alerte initiale, intermédiaire, finale).
Genere un rapport de maturite DORA horodate et signe cryptographiquement, opposable lors d'une inspection sur place CSSF, qui démontré le passage d'une approche quantitative heritee a une approche qualitative DORA.
Alerte sur Teams en temps reel des qu'un test de résilience opérationnelle echoue ou qu'un fournisseur TIC critique perd une certification (ISO 27001, SOC 2, TISAX).

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule CSSF. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre votre dispositif risque opérationnel actuel et les exigences qualitatives DORA.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 12

Ils nous font confiance

Avant de discuter