Je dois mettre mon organisation luxembourgeoise en conformité au considérant 3 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant pose le fondement de DORA : votre risque cyber n'est jamais individuel, il est systemique. La CSSF lit ce considérant comme un mandat pour exiger des entités financieres luxembourgeoises qu'elles cartographient leurs interconnexions, pas seulement leurs actifs internes. Le piège classique consiste a faire une analyse de risque TIC limitee a son propre périmètre, en ignorant les contagion paths via SWIFT, Clearstream, LuxCSD, les correspondants bancaires ou les prestataires cloud mutualises. En cas de contrôle, la CSSF demande la cartographie des dependances en amont et en aval, pas un simple inventaire d'actifs.Ce que ce considérant change concretement dans votre mise en œuvre DORAVotre analyse de risque TIC (article 6 DORA) doit intégrer les 22 000 entités financieres de l'UE comme contexte, pas votre seule organisation : tout incident chez un contrepartie peut devenir le votre en heures.Les scénarios de tests TLPT (article 26) doivent inclure des cas de propagation : ransomware chez un prestataire mutualise, panne d'un teneur de compte central, defaillance d'un fournisseur cloud partagé avec vos concurrents.Le registre des prestataires TIC (article 28) doit identifier les concentration risks : combien d'acteurs de la Place luxembourgeoise dependent du même prestataire (eBRC, LuxConnect, Azure Europe West) ?Les plans de continuite doivent prévoir la perte de confiance et les liquidity runs, pas seulement la perte technique d'un système.Le reporting d'incident majeur (article 19) sert précisément a casser cette propagation : la CSSF et l'ESRB agregent les signaux pour détecter une attaque systemique en cours.Comment Luxgap automatise ce risqueNotre Luxgap Systemic Contagion Mapper rend visible ce que le considérant 3 vous demande de surveiller : votre exposition reelle au risque systemique de la Place financiere luxembourgeoise. L'outil croise vos connexions SWIFT, vos contrats prestataires TIC, vos hebergeurs (eBRC, LuxConnect, Azure, AWS) et les déclarations publiques de vos contreparties pour construire un graphe d'interdependances vivant, et calcule un score de contagion par scénario d'incident.Cartographie automatiquement vos dependances TIC en amont (fournisseurs, sous-traitants de niveau 2 et 3) et en aval (clients institutionnels, contreparties de marché) via vos contrats Odoo, vos flux SWIFT et vos logs Azure AD.Calcule un score de concentration sectorielle par prestataire critique en croisant avec les données publiques de la Place (rapports CSSF, registres ESAs, depots ABBL).Simule la propagation d'un incident chez un prestataire mutualise sur votre opérationnel : délai de bascule, impact liquidite, perte de confiance client modelisee.Alerte en temps reel via Teams ou email des qu'une CVE critique frappe un de vos fournisseurs TIC critiques ou d'un de leurs sous-traitants identifiés.Genere un rapport PDF horodate, conforme au registre article 28 DORA, opposable a la CSSF et exploitable pour le threat-...

Considérant 3 DORA — Considérant 3

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 3

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(3)

Dans un rapport de 2020 consacré au cyberrisque systémique, le Comité européen du risque systémique (CERS) a réaffirmé que le niveau élevé d’interconnexion existant entre les entités financières, les marchés financiers et les infrastructures des marchés financiers, et en particulier les interdépendances de leurs systèmes de TIC, était susceptible de constituer une vulnérabilité systémique, car des cyberincidents localisés pourraient rapidement se propager de l’une des quelque 22 000 entités financières de l’Union à l’ensemble du système financier, sans aucune entrave géographique. Les atteintes graves à la sécurité des TIC qui se produisent dans le secteur financier ne touchent pas seulement les entités financières prises isolément. Elles facilitent également la propagation de vulnérabilités localisées à travers les canaux de transmission financière et peuvent avoir des conséquences préjudiciables pour la stabilité du système financier de l’Union, telles que la création de fuites de liquidités et une érosion générale de la confiance dans les marchés financiers.

Spécificité Luxembourg

Circulaire CSSF 24/847 relative au reporting des incidents TIC

Au Luxembourg, la CSSF est l'autorité competente pour DORA et a publie la circulaire CSSF 24/847 sur le reporting des incidents TIC, qui s'articule directement avec ce considérant : tout incident majeur doit être notifié afin de permettre a la CSSF et a l'ESRB d'identifier une eventuelle propagation systemique sur la Place. La concentration des entités financieres luxembourgeoises sur quelques prestataires TIC mutualises (eBRC, LuxConnect, POST Telecom) rend cet exercice particulièrement sensible.

Pratique Luxgap : nous integrons par defaut les prestataires TIC structurants de la Place luxembourgeoise dans votre graphe de dependances pour mesurer votre risque de concentration sectorielle reel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant pose le fondement de DORA : votre risque cyber n'est jamais individuel, il est systemique. La CSSF lit ce considérant comme un mandat pour exiger des entités financieres luxembourgeoises qu'elles cartographient leurs interconnexions, pas seulement leurs actifs internes. Le piège classique consiste a faire une analyse de risque TIC limitee a son propre périmètre, en ignorant les contagion paths via SWIFT, Clearstream, LuxCSD, les correspondants bancaires ou les prestataires cloud mutualises. En cas de contrôle, la CSSF demande la cartographie des dependances en amont et en aval, pas un simple inventaire d'actifs.

Ce que ce considérant change concretement dans votre mise en œuvre DORA

Votre analyse de risque TIC (article 6 DORA) doit intégrer les 22 000 entités financieres de l'UE comme contexte, pas votre seule organisation : tout incident chez un contrepartie peut devenir le votre en heures.
Les scénarios de tests TLPT (article 26) doivent inclure des cas de propagation : ransomware chez un prestataire mutualise, panne d'un teneur de compte central, defaillance d'un fournisseur cloud partagé avec vos concurrents.
Le registre des prestataires TIC (article 28) doit identifier les concentration risks : combien d'acteurs de la Place luxembourgeoise dependent du même prestataire (eBRC, LuxConnect, Azure Europe West) ?
Les plans de continuite doivent prévoir la perte de confiance et les liquidity runs, pas seulement la perte technique d'un système.
Le reporting d'incident majeur (article 19) sert précisément a casser cette propagation : la CSSF et l'ESRB agregent les signaux pour détecter une attaque systemique en cours.

Comment Luxgap automatise ce risque

Notre Luxgap Systemic Contagion Mapper rend visible ce que le considérant 3 vous demande de surveiller : votre exposition reelle au risque systemique de la Place financiere luxembourgeoise. L'outil croise vos connexions SWIFT, vos contrats prestataires TIC, vos hebergeurs (eBRC, LuxConnect, Azure, AWS) et les déclarations publiques de vos contreparties pour construire un graphe d'interdependances vivant, et calcule un score de contagion par scénario d'incident.

Cartographie automatiquement vos dependances TIC en amont (fournisseurs, sous-traitants de niveau 2 et 3) et en aval (clients institutionnels, contreparties de marché) via vos contrats Odoo, vos flux SWIFT et vos logs Azure AD.
Calcule un score de concentration sectorielle par prestataire critique en croisant avec les données publiques de la Place (rapports CSSF, registres ESAs, depots ABBL).
Simule la propagation d'un incident chez un prestataire mutualise sur votre opérationnel : délai de bascule, impact liquidite, perte de confiance client modelisee.
Alerte en temps reel via Teams ou email des qu'une CVE critique frappe un de vos fournisseurs TIC critiques ou d'un de leurs sous-traitants identifiés.
Genere un rapport PDF horodate, conforme au registre article 28 DORA, opposable a la CSSF et exploitable pour le threat-led penetration testing.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule CSSF. Demandez une demonstration sur vos données reelles et nos équipes preparent un scan gratuit de votre exposition aux prestataires TIC mutualises de la Place sous 48h, avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 3

Ils nous font confiance

Avant de discuter