Je dois mettre mon organisation luxembourgeoise en conformité au considérant 24 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 24 DORA — Considérant 24

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 24

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(24)

Afin de permettre aux autorités compétentes de remplir un rôle de surveillance en obtenant une vue d’ensemble complète de la nature, de la fréquence, de l’importance et des conséquences des incidents liés aux TIC, et afin d’améliorer l’échange d’informations entre les autorités publiques compétentes, y compris les autorités répressives et les autorités de résolution, le présent règlement devrait établir un régime solide de notification des incidents liés aux TIC dans le cadre duquel les exigences pertinentes remédieraient aux lacunes actuelles du droit sur les services financiers, et supprimerait les chevauchements et doubles emplois existants afin d’alléger les coûts. Il est essentiel d’harmoniser le régime de notification des incidents liés aux TIC en imposant à toutes les entités financières de les notifier à leurs autorités compétentes au moyen d’un cadre rationalisé unique défini dans le présent règlement. En outre, les AES devraient être habilitées à préciser davantage les éléments nécessaires au cadre de notification des incidents liés aux TIC, tels que la taxinomie, les délais, les ensembles de données, les modèles et les seuils applicables. Pour veiller à une pleine cohérence avec la directive (UE) 2022/2555, les entités financières devraient être autorisées à notifier, à titre volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la cybermenace est pertinente pour le système financier, les utilisateurs de services ou les clients.

Spécificité Luxembourg

Circulaire CSSF 24/847 du 5 aout 2024 relative aux exigences de notification des incidents TIC, alignee sur DORA

Au Luxembourg, la CSSF est l'autorité competente DORA pour la quasi-totalite des entités financieres (banques, PSF, fonds, gestionnaires, établissements de paiement, EMI), et le CAA pour les entreprises d'assurance et de reassurance. La circulaire CSSF 24/847 précisé deja le cadre national de notification des incidents TIC et a ete alignee sur DORA depuis le 17 janvier 2025 : elle exige une notification initiale dans les 4h ouvrables après classification d'un incident majeur, un rapport intermédiaire et un rapport final, via le portail eDesk de la CSSF.

Pratique Luxgap : nous configurons l'Incident Reporting Orchestrator avec le connecteur eDesk CSSF natif et la double notification automatique CSSF + CNPD lorsque des données personnelles sont touchees, afin de respecter simultanement la circulaire 24/847 et l'article 33 du RGPD sans double saisie.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 24 annonce la philosophie du regime de notification d'incidents TIC : un cadre unique, harmonise, rationalise, qui remplace la mosaique d'obligations déclaratives sectorielles preexistantes. En pratique, la CSSF sanctionné deja les entités financieres qui multiplient les canaux de notification (circulaire 24/847 incidents opérationnels, RGPD article 33, NIS 2 pour certaines filiales) sans coherence : délais rates, qualifications divergentes du même incident, chronologies contradictoires entre rapports. Le piège n'est pas de ne pas notifier : c'est de notifier en silos, ce qui rend toute défense devant le superviseur impossible.

Ce que ce considérant vous impose concretement

Adopter une taxonomie unique d'incident alignee sur les RTS des AES (critères de classification de l'article 18 DORA), et non plusieurs définitions selon le destinataire.
Tracer chaque incident dans un registre central qui alimente simultanement la CSSF (DORA), la CNPD (RGPD si données personnelles touchees) et eventuellement l'ILR (NIS 2 pour les filiales hors champ DORA).
Documenter la décision de notifier volontairement une cybermenace importante a la CSSF : le considérant ouvre cette faculte, mais sans piste d'audit, l'organisation s'exposé au reproche de rétention d'information en cas d'incident ultérieur.
Garantir la coherence chronologique : même horodatage, même qualification, même périmètre d'impact dans tous les canaux.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Reporting Orchestrator transforme la corvee multi-canal en un flux unique cryptographiquement scelle, opposable a la CSSF. Un agent LLM spécialisé lit en temps reel vos alertes Microsoft Sentinel, CrowdStrike Falcon, Defender XDR et Wazuh, qualifié automatiquement chaque incident selon la taxonomie DORA (RTS AES), et déclenche les notifications vers les bonnes autorités avec le bon délai, sans intervention humaine sauf validation finale du CISO.

Classifie chaque alerte SIEM selon les sept critères de l'article 18 DORA (clients touches, durée, perte de données, criticite, geographie, reputation, economique) en moins de 60 secondes.
Detecte automatiquement la double qualification DORA + RGPD + NIS 2 et synchronise les notifications CSSF, CNPD et ILR avec un horodatage unique cryptographiquement signe.
Genere les modèles de rapport initial, intermédiaire et final aux formats RTS AES, preremplis à partir des données SIEM et tickets ServiceNow ou Jira.
Alerte le CISO sur Teams ou Slack des qu'un seuil de notification est franchi, avec recommandation argumentee de notification volontaire pour les cybermenaces importantes.
Produit un journal d'incidents PDF horodate, scelle blockchain, opposable lors d'un contrôle CSSF, demontrant la coherence chronologique et la diligence de l'entité.
Suit les délais réglementaires (24h, 72h, 1 mois) avec compte a rebours et escalade automatique en cas de risque de depassement.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos alertes SIEM reelles, avec un audit blanc gratuit sous 48h pour mesurer votre exposition déclarative actuelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 24

Ils nous font confiance

Avant de discuter