Je dois mettre mon organisation luxembourgeoise en conformité au considérant 25 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 25 DORA — Considérant 25

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 25

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(25)

Les exigences en matière de tests de résilience opérationnelle numérique ont été renforcées dans certains sous-secteurs financiers, définissant des cadres qui ne sont pas toujours tout à fait harmonisés. Cette situation entraîne une multiplication potentielle des coûts pour les entités financières transfrontières et complique la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique, ce qui, à son tour, peut fragmenter le marché intérieur.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement DORA et circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité compétente pour superviser les tests de résilience opérationnelle numérique des entités financières, y compris les TLPT (Threat-Led Penetration Testing). La loi du 1er juin 2023 portant mise en œuvre du règlement DORA et la circulaire CSSF 24/847 précisent que les tests réalisés sous le cadre TIBER-LU (transposition luxembourgeoise de TIBER-EU pilotée par la BCL) sont automatiquement reconnus comme satisfaisant aux exigences DORA article 26, évitant la duplication pour les banques systémiques.

Pratique Luxgap : si votre entité a déjà réalisé un exercice TIBER-LU dans les trois dernières années, nous le réutilisons comme socle DORA sans refaire le test, et nous comblons uniquement les écarts de documentation exigés par la CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 25 explique pourquoi DORA impose un cadre unique de tests de résilience (TLPT, scénarios, périmètre) : avant DORA, une banque luxembourgeoise transfrontalière subissait des tests CSSF, des tests BCE TIBER-EU, des tests AMF et des tests BaFin sans reconnaissance mutuelle. La CSSF utilise ce considérant pour refuser des arguments du type 'nous avons déjà été testés ailleurs, donc nous ne refaisons pas' : c'est l'inverse, DORA force un socle commun et exige que vos tests soient mutualisables entre autorités, pas qu'ils s'évitent.

Ce que ce considérant change concrètement pour vos tests

Vos pentests et red teams doivent désormais être documentés selon le format DORA (articles 24 à 27), pas selon votre méthodologie historique interne, sinon la CSSF ne les reconnaît pas comme valides.
Les résultats doivent être exportables vers d'autres autorités européennes (BCE, ACPR, BaFin) : un test fait au Luxembourg sur votre filiale doit pouvoir être réutilisé par le groupe sans refaire l'exercice.
Les prestataires de tests (red team, threat intelligence) doivent répondre aux critères article 27 : indépendance, certification, expérience TIBER-EU ou équivalent.
La périodicité (annuelle pour les tests basiques, triennale pour les TLPT) devient un plancher uniforme, fini les écarts entre sous-secteurs.
Le périmètre testé doit couvrir les fonctions critiques ou importantes (CIF), pas uniquement les actifs IT que vous jugez sensibles en interne.

Comment Luxgap automatise ce risque

Notre Luxgap Résilience Test Orchestrator transforme votre programme de tests de résilience disparate en un référentiel unique reconnu par la CSSF, la BCE et les autres autorités européennes, en supprimant les doublons de tests imposés historiquement par chaque régulateur. L'outil ingère vos rapports de pentest existants (Wavestone, NVISO, Excellium, Approach Cyber), vos scans Defender et Qualys, vos exercices TIBER-LU et les reformatte automatiquement au format DORA articles 24 à 27 exigé par la CSSF.

Cartographie vos fonctions critiques ou importantes en croisant votre registre RoPA, votre CMDB ServiceNow et vos contrats fournisseurs Odoo pour définir le périmètre minimum à tester.
Génère le plan de tests pluriannuel conforme DORA, avec calendrier des TLPT triennaux et tests annuels, exportable vers le portail CSSF.
Évalue automatiquement vos prestataires de red team contre les critères article 27 (indépendance, certifications CREST/OSCP, expérience TIBER-EU) avant signature.
Produit un dossier de reconnaissance mutuelle, scellé cryptographiquement, transmissible à la BCE ou à toute autre autorité du groupe pour éviter de refaire un test déjà réalisé.
Détecte les écarts entre le périmètre testé et le périmètre des fonctions critiques déclarées, et alerte avant le contrôle CSSF.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre réglementaire. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos rapports de tests existants, avec un audit blanc gratuit sous 48h pour mesurer l'écart entre vos pratiques actuelles et le standard DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 25

Ils nous font confiance

Avant de discuter