Je dois mettre mon organisation luxembourgeoise en conformité au considérant 26 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 26 DORA — Considérant 26

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 26

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(26)

En outre, lorsque aucun test des TIC n’est requis, les vulnérabilités ne sont pas détectées et ont pour effet d’exposer l’entité financière au risque lié aux TIC et, en fin de compte, de créer un risque plus élevé pour la stabilité et l’intégrité du secteur financier. Sans une intervention au niveau de l’Union, les tests de résilience opérationnelle numérique demeureraient incompatibles et seraient dépourvus d’un système de reconnaissance mutuelle des résultats des tests des TIC d’un pays à l’autre. En outre, puisqu’il est peu probable que d’autres sous-secteurs financiers adoptent des mécanismes de test à une échelle significative, ils passeraient à côté des avantages qui peuvent découler d’un cadre de tests, en ce qui concerne la mise au jour des vulnérabilités et du risque lié aux TIC et le test des capacités de défense et de la continuité des activités, qui contribue à renforcer la confiance des clients, des fournisseurs et des partenaires commerciaux. Pour remédier à ces chevauchements, divergences et lacunes, il est nécessaire d’établir des règles visant à coordonner le régime de tests et ainsi de faciliter la reconnaissance mutuelle des tests avancés pour les entités financières remplissant les critères énoncés dans le présent règlement.

Spécificité Luxembourg

CSSF circulaire 24/847 et cadre TIBER-LU

Au Luxembourg, la CSSF a publie en 2024 sa circulaire 24/847 sur la notification des incidents TIC et confirme son alignement sur le cadre TIBER-LU, decline du TIBER-EU. Les entités financieres significatives établies a Luxembourg doivent réaliser leurs TLPT selon cette méthodologie pour bénéficier de la reconnaissance mutuelle prévue a l'article 26(8) du DORA.

Pratique Luxgap : nous cadrons vos tests TLPT directement sous TIBER-LU pour eviter tout retest demande par la CSSF, et coordonnons le dialogue avec le TIBER Cyber Team luxembourgeois en amont du test.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 26 justifie le regime de tests coordonnes du DORA, notamment les tests TLPT (Threat-Led Penetration Testing) des articles 26-27. En pratique, la CSSF sanctionné deja les entités financieres qui se contentent de scans automatises annuels ou de pentests cosmetiques sans scénario de menacé credible. Le piège : croire qu'un rapport Qualys ou Nessus suffit, alors que le legislateur exige une démarché structuree, repetable et reconnue mutuellement entre juridictions UE.

Ce que ce considérant impose concretement

Cartographier les vulnerabilites TIC reelles, pas declarees, sur l'ensemble du périmètre critique (core banking, KYC, paiements, custody).
Mettre en place une cadence de tests proportionnée : vulnerability assessment, scenario-based testing, et TLPT pour les entités significatives.
Documenter les résultats dans un format compatible avec la reconnaissance mutuelle entre autorités competentes UE (CSSF, BCE, ESMA, EIOPA).
Tester les capacites de défense ET la continuite d'activité, pas uniquement la surface technique exposee.
Conserver les preuves de remédiation : un test qui révélé une faille non corrigee dans les délais devient lui-meme une preuve a charge.

Le piège de l'incompatibilite transfrontalière

Une banque luxembourgeoise avec succursales en France et en Allemagne ne peut plus se contenter de trois pentests separes commandes a trois prestataires differents avec trois méthodologies divergentes. Le considérant 26 impose une logique de single test, multi-recognition : un test avance realise selon le cadre TIBER-EU est opposable aux trois autorités simultanement. Refaire trois fois le même test couterait 3x plus cher pour une couverture inférieure.

Comment Luxgap automatise ce risque

Notre Luxgap Résilience Test Orchestrator transforme la corvee de planification et de preuve des tests TIC en pipeline continu opposable a la CSSF. L'outil se connecte a vos scanners existants (Qualys, Tenable, Rapid7), votre EDR (Defender, CrowdStrike, Wazuh), votre SIEM (Sentinel, Splunk) et votre GRC pour orchestrer la cadence réglementaire DORA sans demander a votre RSSI de remplir un seul tableur.

Detecte automatiquement chaque actif TIC critique non couvert par un test dans les délais DORA et alerte le RSSI via Teams avant l'echeance.
Genere les scénarios de menacé TLPT alignes sur le cadre TIBER-EU et la threat intelligence sectorielle (rapports ENISA, MISP, CSIRT financier).
Consolide les rapports de vulnerabilites multi-scanners en une vue unique deduliquee, avec scoring CVSS contextualise au metier financier.
Produit un dossier de reconnaissance mutuelle pret a transmettre a la CSSF, BCE-SSM ou autre autorité UE, demontrant la conformité article 24-27.
Suit le cycle de remédiation et bloque la cloture d'un test tant que les vulnerabilites critiques ne sont pas traitées, avec horodatage cryptographique des preuves.
Calcule un score de maturite résilience opposable, mis à jour en continu, qui anticipe les questions de l'inspection CSSF.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule. Demandez une demonstration et nos équipes preparent un audit blanc gratuit sous 48h sur votre cadence de tests actuelle, pour materialiser votre exposition DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 26

Ils nous font confiance

Avant de discuter