Je dois mettre mon organisation luxembourgeoise en conformité au considérant 35 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant elargit massivement le périmètre DORA : tout service numérique ou de données fourni en continu via des systèmes TIC entre dans le scope, y compris les services over-the-top (Teams, Slack, WhatsApp Business, visio Zoom). En pratique, la CSSF sanctionné les entités financieres qui ont cartographie uniquement leurs fournisseurs cloud classiques en oubliant ces canaux de communication numérique, les API de données de marché, les services de messagerie chiffree utilises par les traders, ou encore les SaaS metier de niche. Seule la telephonie analogique traditionnelle (RTCP, POTS, ligne fixe) est exclue : tout le reste doit figurer dans votre registre d'information article 28(3).Ce que cette définition large change concretementLes services over-the-top (Teams, Webex, Slack, Signal Business) sont des services TIC DORA : ils doivent figurer au registre et faire l'objet d'une analyse de risque.Les flux de données de marché (Bloomberg, Refinitiv, ICE) sont des services TIC DORA, pas de simples abonnements documentaires.Les services d'API (KYC, sanctions screening, scoring crédit, données ESG) sont des services TIC DORA même si la facturation est a la transaction.Les plateformes de signature électronique, e-KYC, video-identification sont incluses, même utilisees ponctuellement.Seuls les services telephoniques analogiques pures (POTS, RTCP, ligne fixe classique) sont exclus. La VoIP, la SIP, le softphone intégré M365 sont DEDANS.L'erreur frequente : exclure les services freemium ou les outils "individuels" (Notion, Miro, Calendly) que les équipes adoptent sans achat formel. Ils relevent du shadow IT et restent des services TIC DORA.Comment Luxgap automatise ce risqueNotre Luxgap ICT Service Discovery rend impossible l'oubli d'un service TIC dans votre registre DORA : l'outil decouvre en continu l'intégralité des services numériques utilises dans votre entité financiere, y compris les services over-the-top et le shadow IT, et reconcilie automatiquement cette decouverte avec votre registre d'information CSSF. L'agent croise vos logs Microsoft Defender for Cloud Apps, les flux DNS sortants de votre SD-WAN, les transactions de votre comptabilite Sage BOB 50 ou SAP, les connecteurs OAuth Azure AD et les flux Netskope CASB pour materialiser la totalite de votre surface TIC.Detecte automatiquement chaque nouveau service TIC des qu'un utilisateur s'authentifie, qu'une facture est payee ou qu'un flux DNS sortant apparait, sans déclaratif manuel des metiers.Classifie chaque service selon la taxonomie DORA (services TIC critiques, supports, communications électroniques OTT, données de marché) et applique automatiquement le bon niveau d'analyse de risque.Distingue les services exclus (telephonie analogique POTS/RTCP) des services inclus (VoIP, softphone Teams, SIP trunk) sur la base de la signature technique du trafic, pas sur du déclaratif fournisseur.Alerte instantanement via Teams ou Slack des qu'un nouveau service TIC apparait san...

Considérant 35 DORA — Considérant 35

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 35

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(35)

Afin de maintenir un niveau élevé de résilience opérationnelle numérique pour l’ensemble du secteur financier et, dans le même temps, de rester en phase avec les évolutions technologiques, le présent règlement devrait lutter contre le risque émanant de tous les types de services TIC. À cette fin, la définition des services TIC dans le contexte du présent règlement devrait être comprise de manière large, englobant les services numériques et de données fournis en continu par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes. Cette définition devrait, par exemple, inclure les services dits «par contournement», qui relèvent de la catégorie des services de communications électroniques. Elle ne devrait exclure que la catégorie limitée des services traditionnels de téléphonie analogique pouvant être considérés comme des services de réseau téléphonique commuté public (RTCP), des services de réseau fixe, un service téléphonique traditionnel (POTS) ou des services de téléphonie fixe.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité competente DORA pour les entités financieres supervisees et a publie sa circulaire CSSF 24/847 sur la notification des incidents TIC, qui s'articule avec la définition large des services TIC du considérant 35. La loi du 1er juin 2023 portant mise en œuvre du règlement DORA confirme que toute defaillance d'un service TIC, y compris OTT et messagerie chiffree utilisee par les équipes front office, peut déclencher l'obligation de notification incident majeur sous 4 heures a la CSSF.

Pratique Luxgap : commencez par un inventaire exhaustif des services over-the-top (Teams, WhatsApp Business, Signal) utilises par vos traders et chargeas de clientele, c'est le premier angle de contrôle de la CSSF lors des inspections DORA 2025.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant elargit massivement le périmètre DORA : tout service numérique ou de données fourni en continu via des systèmes TIC entre dans le scope, y compris les services over-the-top (Teams, Slack, WhatsApp Business, visio Zoom). En pratique, la CSSF sanctionné les entités financieres qui ont cartographie uniquement leurs fournisseurs cloud classiques en oubliant ces canaux de communication numérique, les API de données de marché, les services de messagerie chiffree utilises par les traders, ou encore les SaaS metier de niche. Seule la telephonie analogique traditionnelle (RTCP, POTS, ligne fixe) est exclue : tout le reste doit figurer dans votre registre d'information article 28(3).

Ce que cette définition large change concretement

Les services over-the-top (Teams, Webex, Slack, Signal Business) sont des services TIC DORA : ils doivent figurer au registre et faire l'objet d'une analyse de risque.
Les flux de données de marché (Bloomberg, Refinitiv, ICE) sont des services TIC DORA, pas de simples abonnements documentaires.
Les services d'API (KYC, sanctions screening, scoring crédit, données ESG) sont des services TIC DORA même si la facturation est a la transaction.
Les plateformes de signature électronique, e-KYC, video-identification sont incluses, même utilisees ponctuellement.
Seuls les services telephoniques analogiques pures (POTS, RTCP, ligne fixe classique) sont exclus. La VoIP, la SIP, le softphone intégré M365 sont DEDANS.
L'erreur frequente : exclure les services freemium ou les outils "individuels" (Notion, Miro, Calendly) que les équipes adoptent sans achat formel. Ils relevent du shadow IT et restent des services TIC DORA.

Comment Luxgap automatise ce risque

Notre Luxgap ICT Service Discovery rend impossible l'oubli d'un service TIC dans votre registre DORA : l'outil decouvre en continu l'intégralité des services numériques utilises dans votre entité financiere, y compris les services over-the-top et le shadow IT, et reconcilie automatiquement cette decouverte avec votre registre d'information CSSF. L'agent croise vos logs Microsoft Defender for Cloud Apps, les flux DNS sortants de votre SD-WAN, les transactions de votre comptabilite Sage BOB 50 ou SAP, les connecteurs OAuth Azure AD et les flux Netskope CASB pour materialiser la totalite de votre surface TIC.

Detecte automatiquement chaque nouveau service TIC des qu'un utilisateur s'authentifie, qu'une facture est payee ou qu'un flux DNS sortant apparait, sans déclaratif manuel des metiers.
Classifie chaque service selon la taxonomie DORA (services TIC critiques, supports, communications électroniques OTT, données de marché) et applique automatiquement le bon niveau d'analyse de risque.
Distingue les services exclus (telephonie analogique POTS/RTCP) des services inclus (VoIP, softphone Teams, SIP trunk) sur la base de la signature technique du trafic, pas sur du déclaratif fournisseur.
Alerte instantanement via Teams ou Slack des qu'un nouveau service TIC apparait sans inscription au registre article 28(3), avec un délai cible de 5 minutes.
Genere un registre d'information DORA pre-rempli au format ESAs Implementing Technical Standards, exportable en CSV ou via API directement vers la remontee CSSF.
Produit un rapport PDF horodate scelle cryptographiquement, opposable a la CSSF lors d'un contrôle, demontrant l'exhaustivite de votre cartographie article 8.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un scan gratuit sous 48h qui révélé le nombre exact de services TIC actifs dans votre entité, avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 35

Ils nous font confiance

Avant de discuter