Je dois mettre mon organisation luxembourgeoise en conformité au considérant 2 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant n'est pas qu'une introduction historique : il fixe le périmètre matériel de DORA. La CSSF s'en sert pour rappeler qu'aucune fonction financiere n'échappe au règlement des lors qu'elle repose sur des TIC, y compris des activités longtemps considérées comme accessoires (back-office, gestion de créances, post-marche, souscription InsurTech). Le piège classique consiste a cartographier uniquement les systèmes 'core banking' ou 'core insurance' et a oublier les chaînes numériques peripheriques (algorithmes de trading, plateformes de peer-to-peer, outils de notation de crédit, API d'intermédiaires), qui sont pourtant pleinement dans le champ.Ce que ce considérant change concretement pour votre cartographieLe legislateur insiste sur deux réalités opérationnelles que vos travaux DORA doivent refleter dans la cartographie des fonctions critiques ou importantes (article 8) :La numerisation est transversale : paiements, compensation, reglement-livraison, trading algorithmique, pret, financement participatif, notation, gestion de créances, post-marche, souscription d'assurance, distribution InsurTech sont explicitement cites comme fonctions desormais numerisees.Les interconnexions et dependances se sont approfondies, tant intra-secteur qu'avec les prestataires tiers d'infrastructures (datacenters eBRC, LuxConnect, hyperscalers) et de services (SaaS metier, courtiers de données, fournisseurs InsurTech).Une fonction historiquement papier (gestion de sinistres, recouvrement, KYC) qui a bascule en SaaS doit être requalifiee dans le registre DORA, même si elle n'a jamais figure dans le PCA historique.La chaîne de sous-traitance TIC (article 28) doit être tracee jusqu'au sous-sous-traitant, car c'est la que se materialisent les dependances que ce considérant denonce.Comment Luxgap automatise ce risqueNotre Luxgap Digital Footprint Mapper elimine la zone grise entre votre vision officielle du SI et la réalité des fonctions financieres numerisees. L'outil croise automatiquement vos flux Active Directory, vos depenses Sage BOB 50 / Cegid, vos contrats Odoo, vos logs Microsoft Defender for Cloud Apps et vos exports Azure Cost Management pour reconstruire la carte reelle de toutes les fonctions financieres dependantes de TIC, y compris celles que la DSI ignore.Detecte automatiquement chaque fonction financiere numerisee (paiement, compensation, trading, scoring, souscription, gestion de créances) à partir des signatures applicatives reelles observees sur le SI.Classifie chaque fonction selon les catégories du considérant 2 et propose une qualification 'critique ou importante' au sens de l'article 8, argumentee et opposable a la CSSF.Reconstitue la chaîne de dependance complète jusqu'aux prestataires tiers d'infrastructure (eBRC, LuxConnect, AWS Luxembourg, Azure West Europe) et aux SaaS InsurTech / FinTech.Alerte en temps reel des qu'une nouvelle fonction numerisee apparait dans le SI (nouvel abonnement SaaS, nouvelle API, nouveau fl...

Considérant 2 DORA — Considérant 2

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 2

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(2)

Au cours des dernières décennies, l’utilisation des TIC est devenue centrale dans la fourniture de services financiers, au point qu’elles ont désormais acquis une importance cruciale dans l’exécution des fonctions quotidiennes typiques de toutes les entités financières. La numérisation couvre maintenant, par exemple, les paiements, qui ont évolué progressivement de méthodes reposant sur les espèces et le papier vers l’utilisation de solutions numériques, ainsi que la compensation et le règlement des opérations sur titres, le trading électronique et algorithmique, les opérations de prêt et de financement, le financement entre pairs, la notation de crédit, la gestion de créances et les opérations de post-marché. Le secteur des assurances a également été transformé par l’utilisation des TIC avec l’apparition des intermédiaires d’assurance offrant des services en ligne et fonctionnant avec les technologies du domaine de l’assurance (InsurTech) ou la souscription d’assurance. L’ensemble du secteur financier a non seulement opéré une transition vers le numérique à grande échelle, mais la numérisation a également renforcé les interconnexions et les relations de dépendance au sein du secteur financier et avec les prestataires tiers d’infrastructures et de services.

Spécificité Luxembourg

circulaire CSSF 22/806 sur la gouvernance de l'externalisation TIC et circulaire CSSF 24/847 sur la notification des incidents TIC

Au Luxembourg, la CSSF a publie en 2024 une circulaire de mise en œuvre de DORA (circulaire CSSF 24/847 sur la notification des incidents TIC) qui s'inscrit dans la continuite de la circulaire CSSF 22/806 relative a la gouvernance externalisation TIC. Cette continuite signifié concretement que la cartographie des fonctions numerisees attendue par DORA doit être coherente avec le registre d'externalisation deja exige par la 22/806 : les fonctions citees au considérant 2 (paiements, post-marche, souscription, InsurTech) qui auraient ete omises du registre 22/806 deviennent un signal d'alerte immediat lors d'un contrôle CSSF DORA.

Pratique Luxgap : nous reconcilions automatiquement votre registre 22/806 existant avec la cartographie DORA article 8, et nous identifions les ecarts (fonctions numerisees presentes dans le SI mais absentes du registre) avant que la CSSF ne les detecte.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant n'est pas qu'une introduction historique : il fixe le périmètre matériel de DORA. La CSSF s'en sert pour rappeler qu'aucune fonction financiere n'échappe au règlement des lors qu'elle repose sur des TIC, y compris des activités longtemps considérées comme accessoires (back-office, gestion de créances, post-marche, souscription InsurTech). Le piège classique consiste a cartographier uniquement les systèmes 'core banking' ou 'core insurance' et a oublier les chaînes numériques peripheriques (algorithmes de trading, plateformes de peer-to-peer, outils de notation de crédit, API d'intermédiaires), qui sont pourtant pleinement dans le champ.

Ce que ce considérant change concretement pour votre cartographie

Le legislateur insiste sur deux réalités opérationnelles que vos travaux DORA doivent refleter dans la cartographie des fonctions critiques ou importantes (article 8) :

La numerisation est transversale : paiements, compensation, reglement-livraison, trading algorithmique, pret, financement participatif, notation, gestion de créances, post-marche, souscription d'assurance, distribution InsurTech sont explicitement cites comme fonctions desormais numerisees.
Les interconnexions et dependances se sont approfondies, tant intra-secteur qu'avec les prestataires tiers d'infrastructures (datacenters eBRC, LuxConnect, hyperscalers) et de services (SaaS metier, courtiers de données, fournisseurs InsurTech).
Une fonction historiquement papier (gestion de sinistres, recouvrement, KYC) qui a bascule en SaaS doit être requalifiee dans le registre DORA, même si elle n'a jamais figure dans le PCA historique.
La chaîne de sous-traitance TIC (article 28) doit être tracee jusqu'au sous-sous-traitant, car c'est la que se materialisent les dependances que ce considérant denonce.

Comment Luxgap automatise ce risque

Notre Luxgap Digital Footprint Mapper elimine la zone grise entre votre vision officielle du SI et la réalité des fonctions financieres numerisees. L'outil croise automatiquement vos flux Active Directory, vos depenses Sage BOB 50 / Cegid, vos contrats Odoo, vos logs Microsoft Defender for Cloud Apps et vos exports Azure Cost Management pour reconstruire la carte reelle de toutes les fonctions financieres dependantes de TIC, y compris celles que la DSI ignore.

Detecte automatiquement chaque fonction financiere numerisee (paiement, compensation, trading, scoring, souscription, gestion de créances) à partir des signatures applicatives reelles observees sur le SI.
Classifie chaque fonction selon les catégories du considérant 2 et propose une qualification 'critique ou importante' au sens de l'article 8, argumentee et opposable a la CSSF.
Reconstitue la chaîne de dependance complète jusqu'aux prestataires tiers d'infrastructure (eBRC, LuxConnect, AWS Luxembourg, Azure West Europe) et aux SaaS InsurTech / FinTech.
Alerte en temps reel des qu'une nouvelle fonction numerisee apparait dans le SI (nouvel abonnement SaaS, nouvelle API, nouveau flux algorithmique) pour mise à jour du registre DORA.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CSSF lors d'un contrôle, qui démontré l'exhaustivite de la cartographie du périmètre DORA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 2

Ils nous font confiance

Avant de discuter