Je dois mettre mon organisation luxembourgeoise en conformité au considérant 37 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueBeaucoup de petites fintechs luxembourgeoises pensent échapper à DORA parce qu'elles bénéficient d'une exemption au titre de DSP2 ou de la directive monnaie électronique (seuils de l'article 32 DSP2 ou de l'article 9 DME2). Le considérant 37 ferme cette porté : les établissements de paiement et de monnaie électronique exemptés, ainsi que les prestataires de services d'information sur les comptes (AISP, open banking), sont explicitement dans le champ de DORA. La CSSF applique DORA à ces acteurs comme aux entités pleinement agréées, et c'est souvent là que le réveil est brutal : un AISP de 8 personnes doit avoir un registre des prestataires TIC, une stratégie de résilience, un dispositif de tests, et notifier ses incidents majeurs comme une banque.La cartographie a faire des aujourd'huiPour savoir si vous êtes concernes, posez-vous ces questions concretes :Etes-vous un AISP enregistré auprès de la CSSF au titre de l'article 33 DSP2 (même sans agrement complet) ? Vous êtes dans DORA.Etes-vous un établissement de paiement small PI sous le seuil de 3 M'EUR de l'article 48 de la loi du 10 novembre 2009 (transposition de l'article 32 DSP2) ? Vous êtes dans DORA.Etes-vous un EME exempte au titre de l'article 24-9 de la loi du 10 novembre 2009 ? Vous êtes dans DORA.Etes-vous un office des cheques postaux (POST Finance pour le service postal historique) ? Vous êtes exclus de DORA.L'autorité competente reste celle désignée par DSP2, soit la CSSF au Luxembourg, qui pilote a la fois l'agrement DSP2 et la surveillance DORA.Concretement, une fintech AISP qui agregait jusqu'ici des comptes sans se considérer comme une banque digitale doit maintenant produire les mêmes livrables DORA qu'un établissement de crédit : registre TIC, politique de gestion des risques, plan de continuite, tests de penetration TLPT si désignée par la CSSF, et notification d'incidents majeurs sous 24h/72h/1 mois.Comment Luxgap automatise ce risqueNotre Luxgap DORA Scope Sentinel repond a la question qui paralyse les petites fintechs luxembourgeoises : suis-je dans DORA, et a quel niveau d'exigence ?. L'outil ingere votre statut CSSF (agrement complet, exemption DSP2 article 32, exemption DME article 9, enregistrement AISP article 33), croise vos données d'activité avec les seuils de proportionnalite DORA (article 16 cadre simplifié), et produit un dossier de cadrage opposable a la CSSF qui démontré votre positionnement réglementaire et la maturite cible exigee.Determine automatiquement si votre entité relève de DORA complet, du cadre simplifié article 16, ou hors champ, en se basant sur votre statut CSSF déclaré et votre activité réelle observée dans vos systèmes (Stripe, Mangopay, LemonWay, Treezor, Modulr).Détecte les AISP, EME exemptés et PI exemptés à tort considérés comme hors champ, et alerte les dirigeants sur l'obligation de mise en conformité avec date butoir.Génère le registre des prestataires TIC préformaté CSSF en aspirant les contrats depuis Odoo, DocuSig...

Considérant 37 DORA — Considérant 37

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 37

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(37)

Les prestataires de services d’information sur les comptes, visés à l’article 33, paragraphe 1, de la directive (UE) 2015/2366, sont explicitement inclus dans le champ d’application du présent règlement, compte tenu de la nature spécifique de leurs activités et des risques qui en découlent. En outre, les établissements de monnaie électronique et les établissements de paiement exemptés en vertu de l’article 9, paragraphe 1, de la directive 2009/110/CE du Parlement européen et du Conseil (14) et de l’article 32, paragraphe 1, de la directive (UE) 2015/2366 sont inclus dans le champ d’application du présent règlement même s’ils n’ont pas obtenu un agrément les autorisant à émettre de la monnaie électronique conformément à la directive 2009/110/CE ou s’ils n’ont pas obtenu un agrément les autorisant à fournir et à exécuter des services de paiement conformément à la directive (UE) 2015/2366. Toutefois, les offices des chèques postaux, visés à l’article 2, paragraphe 5, point 3), de la directive 2013/36/UE du Parlement européen et du Conseil (15), sont exclus du champ d’application du présent règlement. L’autorité compétente pour les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366, les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE et les prestataires de services d’information sur les comptes visés à l’article 33, paragraphe 1, de la directive (UE) 2015/2366 devrait être l’autorité compétente désignée conformément à l’article 22 de la directive (UE) 2015/2366.

Spécificité Luxembourg

loi modifiee du 10 novembre 2009 relative aux services de paiement

Au Luxembourg, la CSSF est l'autorité competente désignée au titre de l'article 22 de la DSP2, transpose par la loi modifiee du 10 novembre 2009 relative aux services de paiement. Les small PI exemptes au titre de son article 48 et les EME exemptes au titre de son article 24-9 relevent donc directement de la CSSF pour DORA, sans transfert vers une autre autorité. La CSSF a confirme dans sa communication DORA de janvier 2025 que les AISP enregistrés sont intégralement soumis aux exigences DORA.

Pratique Luxgap : si vous êtes un AISP ou un PI/EME exempte agréé CSSF, declenchez immediatement un cadrage DORA car les délais de notification d'incident (4h initial pour la CSSF) ne supportent aucune impreparation.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup de petites fintechs luxembourgeoises pensent échapper à DORA parce qu'elles bénéficient d'une exemption au titre de DSP2 ou de la directive monnaie électronique (seuils de l'article 32 DSP2 ou de l'article 9 DME2). Le considérant 37 ferme cette porté : les établissements de paiement et de monnaie électronique exemptés, ainsi que les prestataires de services d'information sur les comptes (AISP, open banking), sont explicitement dans le champ de DORA. La CSSF applique DORA à ces acteurs comme aux entités pleinement agréées, et c'est souvent là que le réveil est brutal : un AISP de 8 personnes doit avoir un registre des prestataires TIC, une stratégie de résilience, un dispositif de tests, et notifier ses incidents majeurs comme une banque.

La cartographie a faire des aujourd'hui

Pour savoir si vous êtes concernes, posez-vous ces questions concretes :

Etes-vous un AISP enregistré auprès de la CSSF au titre de l'article 33 DSP2 (même sans agrement complet) ? Vous êtes dans DORA.
Etes-vous un établissement de paiement small PI sous le seuil de 3 M'EUR de l'article 48 de la loi du 10 novembre 2009 (transposition de l'article 32 DSP2) ? Vous êtes dans DORA.
Etes-vous un EME exempte au titre de l'article 24-9 de la loi du 10 novembre 2009 ? Vous êtes dans DORA.
Etes-vous un office des cheques postaux (POST Finance pour le service postal historique) ? Vous êtes exclus de DORA.
L'autorité competente reste celle désignée par DSP2, soit la CSSF au Luxembourg, qui pilote a la fois l'agrement DSP2 et la surveillance DORA.

Concretement, une fintech AISP qui agregait jusqu'ici des comptes sans se considérer comme une banque digitale doit maintenant produire les mêmes livrables DORA qu'un établissement de crédit : registre TIC, politique de gestion des risques, plan de continuite, tests de penetration TLPT si désignée par la CSSF, et notification d'incidents majeurs sous 24h/72h/1 mois.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Scope Sentinel repond a la question qui paralyse les petites fintechs luxembourgeoises : suis-je dans DORA, et a quel niveau d'exigence ?. L'outil ingere votre statut CSSF (agrement complet, exemption DSP2 article 32, exemption DME article 9, enregistrement AISP article 33), croise vos données d'activité avec les seuils de proportionnalite DORA (article 16 cadre simplifié), et produit un dossier de cadrage opposable a la CSSF qui démontré votre positionnement réglementaire et la maturite cible exigee.

Determine automatiquement si votre entité relève de DORA complet, du cadre simplifié article 16, ou hors champ, en se basant sur votre statut CSSF déclaré et votre activité réelle observée dans vos systèmes (Stripe, Mangopay, LemonWay, Treezor, Modulr).
Détecte les AISP, EME exemptés et PI exemptés à tort considérés comme hors champ, et alerte les dirigeants sur l'obligation de mise en conformité avec date butoir.
Génère le registre des prestataires TIC préformaté CSSF en aspirant les contrats depuis Odoo, DocuSign, M365 et les transactions bancaires, sans saisie manuelle.
Calcule un score de maturité DORA aligné sur les RTS finalisés par les ESAs (gouvernance, gestion des risques TIC, incidents, tests, tiers) avec plan de remédiation priorisé.
Produit une note de cadrage juridique horodatée, signée cryptographiquement, à présenter à la CSSF lors d'une inspection ou d'un questionnaire annuel.

Disponible en complément d'un mandat CISO ou DPO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre statut CSSF réel, avec un audit blanc gratuit sous 48h pour confirmer votre positionnement DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 37

Ils nous font confiance

Avant de discuter