Je dois mettre mon organisation luxembourgeoise en conformité au considérant 21 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 21 DORA — Considérant 21

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 21

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(21)

Afin de conserver la maîtrise totale du risque lié aux TIC, les entités financières doivent disposer de capacités globales permettant une gestion solide et efficace du risque lié aux TIC, ainsi que de mécanismes et de politiques spécifiques pour le traitement de tous les incidents liés aux TIC et pour la notification des incidents majeurs liés aux TIC. De même, les entités financières devraient disposer de politiques pour le test des systèmes de TIC, contrôles des TIC et processus des TIC, ainsi que pour la gestion des risques liés aux prestataires tiers de services TIC. Le niveau de référence en matière de résilience opérationnelle numérique des entités financières devrait être relevé tout en permettant également une application proportionnée des exigences à certaines entités financières, en particulier les microentreprises, ainsi que les entités financières soumises à un cadre de gestion du risque lié aux TIC simplifié. Pour favoriser une surveillance efficace des institutions de retraite professionnelle qui soit proportionnée et réponde au besoin de réduire les charges administratives pesant sur les autorités compétentes, les dispositions nationales pertinentes en matière de surveillance applicables à ces entités financières devraient tenir compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations, même lorsque les seuils pertinents fixés à l’article 5 de la directive (UE) 2016/2341 du Parlement européen et du Conseil (10) sont dépassés. En particulier, les activités de surveillance devraient porter essentiellement sur la nécessité de faire face aux risques graves associés à la gestion du risque lié aux TIC d’une entité donnée.

Les autorités compétentes devraient également maintenir une approche vigilante, mais proportionnée, en ce qui concerne la surveillance des institutions de retraite professionnelle qui, conformément à l’article 31 de la directive (UE) 2016/2341, externalisent une partie importante de leurs activités de base, telles que la gestion d’actifs, les calculs actuariels, la comptabilité et la gestion de données, à des prestataires de services.

Spécificité Luxembourg

loi luxembourgeoise du 1er juillet 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente unique pour DORA sur toutes les entités financieres régulées, et le CAA (Commissariat aux Assurances) pour les entreprises d'assurance, de reassurance et les intermédiaires. La loi du 1er juillet 2024 portant mise en œuvre du règlement DORA désigné formellement ces autorités et active les sanctions administratives (jusqu'à 1% du chiffre d'affaires journalier mondial moyen). Pour les IRP luxembourgeoises (ASSEP, SEPCAV), la CSSF applique le principe de proportionnalite du considérant 21 en tenant compte du modèle d'externalisation typique de la place (administration centrale chez un PSF de support).

Pratique Luxgap : pour une IRP luxembourgeoise qui externalisé son administration centrale a un PSF de support, le cadre DORA simplifié article 16 reste applicable mais la chaîne de sous-traitance vers le PSF doit être cartographiee au même niveau qu'une banque, car le PSF est lui-meme entité financiere régulée CSSF avec ses propres obligations DORA en cascade.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 21 fixe l'intention du legislateur : la proportionnalite n'est pas une dispense, c'est un calibrage. La CSSF sanctionné deux derives symetriques. D'un cote, les microentreprises et IRP qui s'estiment trop petites pour DORA et n'ont ni politique de test ni registre fournisseurs TIC. De l'autre, les entités de taille moyenne qui copient-collent le cadre d'une grande banque sans adapter le niveau de granularite, generant une documentation ingerable et incoherente lors des contrôles.

Les 4 piliers que DORA exige de tous, calibres selon la taille

Gestion du risque TIC : cadre complet pour les grandes entités, cadre simplifié (article 16) pour microentreprises, courtiers d'assurance et petites IRP.
Gestion et notification des incidents majeurs : classification selon le règlement délégué, notification CSSF dans les délais (alerte initiale 4h après classification, rapport intermédiaire 72h, rapport final 1 mois).
Tests de résilience opérationnelle : tests de base annuels pour tous, TLPT (red team) tous les 3 ans uniquement pour les entités significatives désignées par la CSSF.
Gestion du risque tiers TIC : registre d'information complet (RTS 2024/1773), stratégie de sortie, clauses contractuelles article 30, sans seuil de taille.

Le test de proportionnalite : ce que la CSSF regarde reellement

Pour une IRP qui externalisé gestion d'actifs et comptabilite (cas visé par le considérant 21), la CSSF evalue la concentration du risque chez le prestataire, non la taille du fonds. Une IRP de 50 MEUR d'encours qui délégué 90% de ses opérations a un asset manager subit la même exigence de surveillance contractuelle qu'une grande caisse de pension. La taille reduit le formalisme interne, jamais la rigueur sur la chaîne d'externalisation.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Proportionality Engine calcule en temps reel le profil de proportionnalite réglementaire de votre entité et genere automatiquement le cadre DORA calibre a votre taille, votre profil de risque et votre dependance aux prestataires TIC. L'outil croise vos données CSSF (catégorie de licence, total bilan, encours sous gestion), votre registre fournisseurs TIC (extrait de Odoo, SAP Ariba ou Coupa) et vos incidents historiques (Defender, Sentinel, ServiceNow) pour positionner votre entité sur la matrice article 16 (cadre simplifié) vs cadre complet.

Determine automatiquement si votre entité relevé du cadre simplifié article 16 ou du cadre complet, avec justification ecrite opposable a la CSSF.
Calibre les 4 politiques DORA obligatoires (gestion TIC, incidents, tests, tiers) au niveau exact de granularite requis pour votre profil, sans sur-documentation inutile.
Detecte les seuils de bascule (depassement article 5 directive IORP, désignation entité significative TLPT) et alerte 6 mois avant pour préparer la montee en charge.
Mesure la concentration d'externalisation sur vos prestataires critiques (asset managers, actuaires, prestataires comptables) et déclenche les revues contractuelles article 28-30 DORA.
Produit un dossier de proportionnalite PDF horodate, signe cryptographiquement, demontrant a la CSSF que votre dispositif est calibre conformément au considérant 21.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour positionner votre entité sur la matrice DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 21

Ils nous font confiance

Avant de discuter