Le piège classique
Le considérant 36 pose le principe de proportionnalite de DORA, mais en pratique la CSSF sanctionné deux derives opposees. D'un cote, les petites entités (intermédiaires d'assurance, gestionnaires AIFM sous-seuil, EMI de taille modeste) qui invoquent la proportionnalite pour ne rien faire et n'ont ni cartographie TIC, ni politique de continuite documentee. De l'autre, les groupes bancaires qui copient-collent le cadre du holding sans l'adapter a la filiale luxembourgeoise, et se retrouvent avec un dispositif théorique deconnecte des opérations reelles. La CSSF attend une argumentation ecrite et chiffree de votre dimensionnement, pas une déclaration de principe.
Le test de proportionnalite : 4 axes a documenter
Pour materialiser la proportionnalite article 4 (qui decoule de ce considérant 36) face a la CSSF, votre dossier doit démontrer une calibration explicite sur quatre dimensions :
- Taille : total bilan, effectif TIC interne et externalisé, nombre de systèmes critiques recenses, volumetrie de transactions traitées.
- Profil de risque global : exposition aux services cloud hors UE, dependance a un prestataire TIC unique, criticite des activités pour le marché luxembourgeois.
- Nature et complexité : produits structures, trading algorithmique, services de paiement transfrontaliers, custody crypto, chacun majorant le niveau d'exigence attendu.
- Reexamen périodique : la CSSF attend que vous redemontriez ce dimensionnement au moins annuellement, et a chaque évolution matérielle (acquisition, nouveau produit, changement de prestataire TIC critique).
L'erreur récurrente consiste a fixer le dimensionnement au lancement de DORA en 2025 et a ne plus jamais le revisiter. Or le considérant 36 précisé expressement que les autorités competentes devraient poursuivre l'évaluation et le reexamen de l'approche, ce qui signifié que la CSSF challengera votre calibration lors de chaque inspection thematique.
Comment Luxgap automatise ce risque
Notre Luxgap Proportionality Compass transforme l'argumentation de proportionnalite DORA, souvent reduite a une note de bas de page, en un score quantitatif horodate opposable a la CSSF lors d'un contrôle. L'outil agrege en continu vos signaux internes (effectif TIC via Workday ou Sage BOB 50, total bilan via votre core banking, registre des prestataires TIC critiques) et signaux externes (classification CSSF de l'entité, expositions reportees aux ESAs) pour calculer un niveau d'exigence DORA adapte, axe par axe.
- Calcule un score de complexité TIC sur les quatre axes du considérant 36 (taille, risque, nature, complexité) avec ponderation auditable et formule documentee.
- Compare votre score a un panel d'entités financieres luxembourgeoises comparables (banque privée, fintech CSSF, gestionnaire AIFM, EMI) pour détecter les sous-dimensionnements suspects.
- Genere automatiquement la note de proportionnalite DORA article 4 prete a inclure dans votre cadre de gestion du risque TIC, avec justification chiffree de chaque choix d'allegement ou de renforcement.
- Detecte les événements déclencheurs de reexamen (acquisition, nouveau produit, changement de prestataire critique, depassement de seuil) et alerte la direction via Teams ou email avec preconisation de mise à jour.
- Produit un rapport PDF cryptographiquement scelle, opposable a la CSSF, qui démontré la traceabilite de votre calibration au fil du temps.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre calibration actuelle avant tout engagement.
