Je dois mettre mon organisation luxembourgeoise en conformité au considérant 19 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLes entités financieres pensent souvent devoir empiler les obligations DORA et celles de la directive CER (UE 2022/2557) sur la résilience des entités critiques. Résultat : double cartographie, doubles plans de continuite, doubles notifications, et incohérence entre l'équipe surete physique et l'équipe TIC. La CSSF attend l'inverse : un dispositif unique et intégré ou la résilience physique des sites (datacenters, salles de marché, agences) est traitée dans le cadre DORA, et non en silo CER.L'articulation DORA / CER en pratiqueLes chapitres III (mesures de résilience) et IV (notification d'incidents) de la directive CER ne s'appliquent PAS aux entités financieres dans le périmètre DORA : la lex specialis DORA absorbe ces obligations.En revanche, la qualification d'entité critique au sens CER peut subsister pour d'autres finalités (identification par les autorités nationales, cooperation transfrontalière).La résilience physique (accès, alimentation electrique, refroidissement, redondance géographique des datacenters) doit être intégrée au cadre de gestion du risque TIC de l'article 6 DORA, pas gérée dans un plan separe.Les scénarios de tests de résilience opérationnelle numérique avancee (TLPT) doivent inclure des composantes physiques credibles : coupure datacenter primaire, intrusion physique, sabotage cable.La gouvernance doit eviter la dualité : un seul comite de résilience, un seul registre d'incidents, une seule chaîne de notification CSSF.Pourquoi cela compte pour les acteurs de la PlaceUne banque privée luxembourgeoise, une fintech reguleee CSSF ou un gestionnaire AIFM hébergé ses systèmes critiques chez LuxConnect, eBRC ou en cloud souverain. La continuite physique de ces infrastructures (Tier IV, redondance N+1, sites geographiquement separes) doit être documentee dans votre dispositif DORA, pas dans un classeur CER parallele. La CSSF lira un dossier unique.Comment Luxgap automatise ce risqueNotre Luxgap Résilience Convergence Hub fusionne en un dispositif unique vos obligations DORA et les exigences residuelles CER, et elimine la dualité physique / numérique qui fait echouer la plupart des dossiers CSSF. L'outil cartographie en continu vos dependances physiques (datacenters LuxConnect / eBRC, fournisseurs electriques POST / Creos, sites de backup) et numériques (M365, Azure, AWS, fournisseurs SaaS critiques) en s'appuyant sur vos contrats Odoo, vos factures fournisseurs et vos configurations Defender / Sentinel.Detecte automatiquement les composantes physiques de votre chaîne TIC (datacenter primaire, secondaire, telecom, energie) et les rattache au registre d'information DORA article 28.Calcule un score de redondance géographique par actif critique en croisant géolocalisation des datacenters, RTO / RPO contractuels et certifications Tier Uptime Institute.Genere les scénarios TLPT hybrides (cyber + physique) attendus par la CSSF : coupure datacenter, intrusion physique, sabotage fibre transfrontalière LU-DE-BE.Alert...

Considérant 19 DORA — Considérant 19

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 19

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(19)

En raison des liens étroits entre la résilience numérique et la résilience physique des entités financières, une approche cohérente en ce qui concerne la résilience des entités critiques est nécessaire dans le présent règlement et dans la directive (UE) 2022/2557 du Parlement européen et du Conseil (9). Étant donné que la résilience physique des entités financières est traitée de manière globale par les obligations en matière de gestion et de notification du risque lié aux TIC couvertes par le présent règlement, les obligations prévues aux chapitres III et IV de la directive (UE) 2022/2557 ne devraient pas s’appliquer aux entités financières qui relèvent du champ d’application de ladite directive.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 relative a la mise en oeuvre du reglement DORA

Au Luxembourg, la loi du 1er aout 2024 portant désignation des autorités competentes pour DORA confie a la CSSF et au CAA la supervision de la résilience opérationnelle numérique selon le type d'entité financiere. La transposition luxembourgeoise de la directive CER (UE 2022/2557) suit un calendrier distinct mais reconnait expressement l'exclusion des entités financieres pour les chapitres III et IV, en coherence avec le considérant 19.

Pratique Luxgap : pour les entités mixtes (groupes ayant a la fois des activités financieres CSSF et des activités industrielles ou energetiques relevant du HCPN), nous segmentons clairement le périmètre DORA et le périmètre CER dans un seul dossier de gouvernance pour eviter les zones grises lors d'un contrôle conjoint.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les entités financieres pensent souvent devoir empiler les obligations DORA et celles de la directive CER (UE 2022/2557) sur la résilience des entités critiques. Résultat : double cartographie, doubles plans de continuite, doubles notifications, et incohérence entre l'équipe surete physique et l'équipe TIC. La CSSF attend l'inverse : un dispositif unique et intégré ou la résilience physique des sites (datacenters, salles de marché, agences) est traitée dans le cadre DORA, et non en silo CER.

L'articulation DORA / CER en pratique

Les chapitres III (mesures de résilience) et IV (notification d'incidents) de la directive CER ne s'appliquent PAS aux entités financieres dans le périmètre DORA : la lex specialis DORA absorbe ces obligations.
En revanche, la qualification d'entité critique au sens CER peut subsister pour d'autres finalités (identification par les autorités nationales, cooperation transfrontalière).
La résilience physique (accès, alimentation electrique, refroidissement, redondance géographique des datacenters) doit être intégrée au cadre de gestion du risque TIC de l'article 6 DORA, pas gérée dans un plan separe.
Les scénarios de tests de résilience opérationnelle numérique avancee (TLPT) doivent inclure des composantes physiques credibles : coupure datacenter primaire, intrusion physique, sabotage cable.
La gouvernance doit eviter la dualité : un seul comite de résilience, un seul registre d'incidents, une seule chaîne de notification CSSF.

Pourquoi cela compte pour les acteurs de la Place

Une banque privée luxembourgeoise, une fintech reguleee CSSF ou un gestionnaire AIFM hébergé ses systèmes critiques chez LuxConnect, eBRC ou en cloud souverain. La continuite physique de ces infrastructures (Tier IV, redondance N+1, sites geographiquement separes) doit être documentee dans votre dispositif DORA, pas dans un classeur CER parallele. La CSSF lira un dossier unique.

Comment Luxgap automatise ce risque

Notre Luxgap Résilience Convergence Hub fusionne en un dispositif unique vos obligations DORA et les exigences residuelles CER, et elimine la dualité physique / numérique qui fait echouer la plupart des dossiers CSSF. L'outil cartographie en continu vos dependances physiques (datacenters LuxConnect / eBRC, fournisseurs electriques POST / Creos, sites de backup) et numériques (M365, Azure, AWS, fournisseurs SaaS critiques) en s'appuyant sur vos contrats Odoo, vos factures fournisseurs et vos configurations Defender / Sentinel.

Detecte automatiquement les composantes physiques de votre chaîne TIC (datacenter primaire, secondaire, telecom, energie) et les rattache au registre d'information DORA article 28.
Calcule un score de redondance géographique par actif critique en croisant géolocalisation des datacenters, RTO / RPO contractuels et certifications Tier Uptime Institute.
Genere les scénarios TLPT hybrides (cyber + physique) attendus par la CSSF : coupure datacenter, intrusion physique, sabotage fibre transfrontalière LU-DE-BE.
Alerte en temps reel via Teams ou Slack quand un fournisseur d'infrastructure perd une certification ISO 22301 / Tier ou subit un incident public référence HIBP / sources OSINT.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a la CSSF, qui démontré l'absorption des obligations CER dans le cadre DORA et evite la double charge déclarative.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle d'infrastructures, avec un audit blanc gratuit sous 48h pour mesurer votre exposition convergente avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 19

Ils nous font confiance

Avant de discuter