Je dois mettre mon organisation luxembourgeoise en conformité au considérant 23 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 23 acte la fin du double reporting : les prestataires de services de paiement (PSP) qui notifiaient leurs incidents au titre de DSP2 (article 96) basculent intégralement sous DORA des sa date d'application. En pratique, la CSSF sanctionné deux ecueils symetriques : les PSP qui continuent a notifier sous le canal DSP2 alors qu'ils devraient utiliser le canal DORA, et ceux qui ne notifient que les incidents TIC en oubliant que DORA couvre aussi les incidents opérationnels ou de sécurité liés au paiement non-TIC (fraude interne, defaillance d'un guichet, erreur de reconciliation). Le périmètre s'elargit, il ne se reduit pas.Les pièges en pratique du basculement DSP2 vers DORAChamp matériel élargi : DORA capte tous les incidents liés au paiement, qu'ils soient TIC ou non. Une erreur humaine de saisie ou une fraude au paiement reste notifiable.établissements concernes : établissements de crédit, EMI, EP et prestataires de services d'information sur les comptes (AISP) vises a l'article 33(1) DSP2.Canal unique CSSF : un seul point d'entree pour les incidents majeurs TIC et les incidents opérationnels ou de sécurité liés au paiement, avec les seuils et délais DORA (notification initiale, intermédiaire, finale).Risque de gap pendant la bascule : les procédures internes qui referencent encore les orientations EBA sur DSP2 doivent être reecrites pour pointer DORA et les RTS associes.Documentation de classification : chaque incident doit être classifie selon les critères DORA (clients affectes, durée, perte de données, criticite des services) et non plus selon la grille DSP2.Comment Luxgap automatise ce risqueNotre Luxgap Incident Bridge PSD2-DORA elimine le risque de double reporting et de gap de notification pendant la bascule réglementaire. L'agent IA monitore en temps reel vos systèmes de paiement (Worldline, Equensworldline, eBRC PaymentHub, Six BBS, connecteurs SWIFT, modules de paiement Odoo et Sage BOB 50) et reclasse chaque événement detecte selon la grille DORA, en supprimant automatiquement la voie DSP2 obsolete vers la CSSF.Detecte chaque incident opérationnel ou de sécurité lié au paiement via intégration native aux core banking et passerelles de paiement luxembourgeoises (POST Luxembourg, LuxHub, eBRC).Classifie automatiquement l'incident selon les critères DORA (clients impactes, durée, perte de données, reputation) et calcule en temps reel s'il franchit le seuil de notification majeure.Bloque toute tentative de notification residuelle via le canal DSP2 et redirige le workflow vers le portail CSSF DORA, avec horodatage de la décision.Genere les trois rapports DORA (initial, intermédiaire, final) preremplis à partir des logs systèmes, avec respect strict des délais réglementaires.Produit un journal d'audit cryptographiquement scelle, opposable a la CSSF, demontrant la migration complète du reporting DSP2 vers DORA pour chaque entité du groupe.Alerte le RSSI et le responsable conformité via Teams ou Slack des ...

Considérant 23 DORA — Considérant 23

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 23

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(23)

Pour réduire la charge administrative et les obligations de notification susceptibles d’être redondantes pour certaines entités financières, l’obligation de notification des incidents au titre de la directive (UE) 2015/2366 du Parlement européen et du Conseil (12) devrait cesser de s’appliquer aux prestataires de services de paiement qui relèvent du champ d’application du présent règlement. Par conséquent, les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les prestataires de services d’information sur les comptes, visés à l’article 33, paragraphe 1, de ladite directive, devraient, à compter de la date d’application du présent règlement, signaler, conformément au présent règlement, tous les incidents opérationnels ou de sécurité liés au paiement qui ont été précédemment signalés au titre de ladite directive, que ces incidents soient liés ou non aux TIC.

Spécificité Luxembourg

loi du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité competente unique pour la reception des notifications DORA des PSP établis dans le pays. La loi du 1er aout 2024 portant mise en œuvre du règlement DORA et la circulaire CSSF 24/847 (cadre de notification des incidents) precisent que le portail eDesk de la CSSF devient le canal exclusif a compter du 17 janvier 2025, en remplacement de l'ancien dispositif DSP2 (circulaire CSSF 21/787 modifiee). Les EMI et EP agréés sous la loi modifiee du 10 novembre 2009 relative aux services de paiement basculent intégralement.

Pratique Luxgap : nous reparametrons votre matrice d'escalade pour pointer eDesk CSSF avec les seuils DORA et nous archivons une attestation de migration signee, opposable lors du prochain contrôle CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 23 acte la fin du double reporting : les prestataires de services de paiement (PSP) qui notifiaient leurs incidents au titre de DSP2 (article 96) basculent intégralement sous DORA des sa date d'application. En pratique, la CSSF sanctionné deux ecueils symetriques : les PSP qui continuent a notifier sous le canal DSP2 alors qu'ils devraient utiliser le canal DORA, et ceux qui ne notifient que les incidents TIC en oubliant que DORA couvre aussi les incidents opérationnels ou de sécurité liés au paiement non-TIC (fraude interne, defaillance d'un guichet, erreur de reconciliation). Le périmètre s'elargit, il ne se reduit pas.

Les pièges en pratique du basculement DSP2 vers DORA

Champ matériel élargi : DORA capte tous les incidents liés au paiement, qu'ils soient TIC ou non. Une erreur humaine de saisie ou une fraude au paiement reste notifiable.
établissements concernes : établissements de crédit, EMI, EP et prestataires de services d'information sur les comptes (AISP) vises a l'article 33(1) DSP2.
Canal unique CSSF : un seul point d'entree pour les incidents majeurs TIC et les incidents opérationnels ou de sécurité liés au paiement, avec les seuils et délais DORA (notification initiale, intermédiaire, finale).
Risque de gap pendant la bascule : les procédures internes qui referencent encore les orientations EBA sur DSP2 doivent être reecrites pour pointer DORA et les RTS associes.
Documentation de classification : chaque incident doit être classifie selon les critères DORA (clients affectes, durée, perte de données, criticite des services) et non plus selon la grille DSP2.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Bridge PSD2-DORA elimine le risque de double reporting et de gap de notification pendant la bascule réglementaire. L'agent IA monitore en temps reel vos systèmes de paiement (Worldline, Equensworldline, eBRC PaymentHub, Six BBS, connecteurs SWIFT, modules de paiement Odoo et Sage BOB 50) et reclasse chaque événement detecte selon la grille DORA, en supprimant automatiquement la voie DSP2 obsolete vers la CSSF.

Detecte chaque incident opérationnel ou de sécurité lié au paiement via intégration native aux core banking et passerelles de paiement luxembourgeoises (POST Luxembourg, LuxHub, eBRC).
Classifie automatiquement l'incident selon les critères DORA (clients impactes, durée, perte de données, reputation) et calcule en temps reel s'il franchit le seuil de notification majeure.
Bloque toute tentative de notification residuelle via le canal DSP2 et redirige le workflow vers le portail CSSF DORA, avec horodatage de la décision.
Genere les trois rapports DORA (initial, intermédiaire, final) preremplis à partir des logs systèmes, avec respect strict des délais réglementaires.
Produit un journal d'audit cryptographiquement scelle, opposable a la CSSF, demontrant la migration complète du reporting DSP2 vers DORA pour chaque entité du groupe.
Alerte le RSSI et le responsable conformité via Teams ou Slack des qu'un incident depasse le seuil, avec proposition automatique du modèle de notification.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent un audit blanc gratuit sous 48h de votre dispositif actuel de notification d'incidents de paiement, pour mesurer votre exposition au double reporting avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 23

Ils nous font confiance

Avant de discuter