Je dois mettre mon organisation luxembourgeoise en conformité au considérant 38 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 38 introduit une asymetrie de gouvernance que beaucoup d'entités financieres luxembourgeoises interpretent mal : ne pas être une microentreprise au sens DORA déclenche automatiquement l'obligation de structures de gouvernance plus complexes (fonction dediee de supervision des prestataires TIC, modèle des trois lignes de défense, audit interne du cadre de gestion du risque TIC). La CSSF vérifié en contrôle si la taille reelle de l'entité justifie ou non l'allegement, et sanctionné les fintechs ou PSF qui s'auto-qualifient microentreprise alors qu'elles depassent les seuils du règlement.Le test microentreprise au sens DORA : ce qui change concretementUne entité financiere n'est microentreprise au sens de DORA que si elle emploie moins de 10 personnes ET realise un chiffre d'affaires ou un bilan annuel inférieur a 2 millions EUR (renvoi a la recommandation 2003/361/CE). Des que vous depassez l'un de ces seuils, vous basculez dans le regime complet et devez démontrer :Une fonction de contrôle dediee a la surveillance des accords TIC tiers, distincte des opérations IT, avec mandat, ressources et reporting au conseil d'administration.Une fonction de gestion de crise TIC formalisee avec procédure d'escalade testee au moins annuellement.Le modèle des trois lignes de défense applique au risque TIC : metier (1ere), risque et conformité (2eme), audit interne (3eme).L'inclusion explicite du cadre de gestion du risque TIC dans le plan d'audit interne pluriannuel, avec piste d'audit documentee.Une politique ecrite de gestion du risque TIC approuvee par le conseil et revue au moins une fois par an (article 5 DORA).Le piège le plus frequent au Luxembourg concerne les EMI, PSF de support et gestionnaires AIFM de taille intermédiaire qui pensent bénéficier d'un regime allege parce qu'ils sont petits, alors que leur bilan depasse 2 millions EUR. La CSSF requalifie et impose la mise en conformité retroactive avec calendrier serre.Comment Luxgap automatise ce risqueNotre Luxgap DORA Governance Mapper elimine l'ambiguite sur votre regime applicable et materialise la gouvernance TIC attendue par la CSSF avant qu'elle ne vienne la vérifier. L'outil interroge automatiquement vos systèmes RH (Sopra HR Suite, Workday LU, SD Worx), vos états financiers (Sage BOB 50, Cegid Quadra, Odoo Finance) et votre référentiel risque pour qualifier votre statut DORA en temps reel, puis cartographie chaque exigence de gouvernance manquante par rapport au modèle trois lignes de défense.Calcule en continu votre eligibilite au regime microentreprise DORA en croisant effectif paie, chiffre d'affaires et total bilan, et alerte des qu'un seuil est franchi pour anticiper le basculement de regime.Cartographie automatiquement vos fonctions de contrôle existantes sur le modèle des trois lignes de défense et identifié les ruptures de segregation (ex : même personne géré les contrats TIC et les contrôle).Genere les chartes de fonction supervision TIC tiers et gest...

Considérant 38 DORA — Considérant 38

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 38

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(38)

Étant donné que les grandes entités financières pourraient disposer de ressources plus importantes et être en mesure de mobiliser rapidement des fonds pour développer des structures de gouvernance et établir diverses stratégies d’entreprise, seules les entités financières qui ne sont pas des microentreprises au sens du présent règlement devraient être tenues de mettre en place des dispositifs de gouvernance plus complexes. Ces entités sont notamment mieux armées pour mettre en place des fonctions de gestion dédiées à la surveillance des accords avec les prestataires tiers de services TIC ou à la gestion des crises, pour organiser leur gestion du risque lié aux TIC selon le modèle reposant sur trois lignes de défense, ou pour établir un modèle de gestion des risques et de contrôle internes, et pour soumettre leur cadre de gestion du risque lié aux TIC aux audits internes.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente pour DORA sur l'ensemble des entités financieres régulées (établissements de crédit, PSF, EMI, établissements de paiement, gestionnaires AIFM, OPCVM, entreprises d'assurance via le CAA pour le secteur assurantiel). La loi du 1er juin 2023 portant mise en œuvre de DORA désigné explicitement la CSSF et le CAA comme autorités de surveillance et confirme l'application du test microentreprise au sens du règlement, sans seuil national plus favorable. La CSSF a publie sa Circulaire CSSF 24/847 sur la notification des incidents TIC qui s'articule avec les exigences de gouvernance du considérant 38.

Pratique Luxgap : pour les PSF de support et EMI luxembourgeois proches du seuil des 2 millions EUR de bilan, nous recommandons d'anticiper le basculement de regime au moins 6 mois avant le franchissement projete, car la CSSF exige un cadre de gouvernance opérationnel des le depassement, pas en differe.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 38 introduit une asymetrie de gouvernance que beaucoup d'entités financieres luxembourgeoises interpretent mal : ne pas être une microentreprise au sens DORA déclenche automatiquement l'obligation de structures de gouvernance plus complexes (fonction dediee de supervision des prestataires TIC, modèle des trois lignes de défense, audit interne du cadre de gestion du risque TIC). La CSSF vérifié en contrôle si la taille reelle de l'entité justifie ou non l'allegement, et sanctionné les fintechs ou PSF qui s'auto-qualifient microentreprise alors qu'elles depassent les seuils du règlement.

Le test microentreprise au sens DORA : ce qui change concretement

Une entité financiere n'est microentreprise au sens de DORA que si elle emploie moins de 10 personnes ET realise un chiffre d'affaires ou un bilan annuel inférieur a 2 millions EUR (renvoi a la recommandation 2003/361/CE). Des que vous depassez l'un de ces seuils, vous basculez dans le regime complet et devez démontrer :

Une fonction de contrôle dediee a la surveillance des accords TIC tiers, distincte des opérations IT, avec mandat, ressources et reporting au conseil d'administration.
Une fonction de gestion de crise TIC formalisee avec procédure d'escalade testee au moins annuellement.
Le modèle des trois lignes de défense applique au risque TIC : metier (1ere), risque et conformité (2eme), audit interne (3eme).
L'inclusion explicite du cadre de gestion du risque TIC dans le plan d'audit interne pluriannuel, avec piste d'audit documentee.
Une politique ecrite de gestion du risque TIC approuvee par le conseil et revue au moins une fois par an (article 5 DORA).

Le piège le plus frequent au Luxembourg concerne les EMI, PSF de support et gestionnaires AIFM de taille intermédiaire qui pensent bénéficier d'un regime allege parce qu'ils sont petits, alors que leur bilan depasse 2 millions EUR. La CSSF requalifie et impose la mise en conformité retroactive avec calendrier serre.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Governance Mapper elimine l'ambiguite sur votre regime applicable et materialise la gouvernance TIC attendue par la CSSF avant qu'elle ne vienne la vérifier. L'outil interroge automatiquement vos systèmes RH (Sopra HR Suite, Workday LU, SD Worx), vos états financiers (Sage BOB 50, Cegid Quadra, Odoo Finance) et votre référentiel risque pour qualifier votre statut DORA en temps reel, puis cartographie chaque exigence de gouvernance manquante par rapport au modèle trois lignes de défense.

Calcule en continu votre eligibilite au regime microentreprise DORA en croisant effectif paie, chiffre d'affaires et total bilan, et alerte des qu'un seuil est franchi pour anticiper le basculement de regime.
Cartographie automatiquement vos fonctions de contrôle existantes sur le modèle des trois lignes de défense et identifié les ruptures de segregation (ex : même personne géré les contrats TIC et les contrôle).
Genere les chartes de fonction supervision TIC tiers et gestion de crise TIC adaptees a votre taille, avec mandat, KPI et lignes de reporting prets a être valides par le conseil.
Intégré votre cadre de gestion du risque TIC dans un plan d'audit interne pluriannuel conforme article 6(6) DORA, avec piste d'audit horodatee.
Produit un rapport PDF cryptographiquement scelle, opposable lors d'une inspection CSSF, qui démontré la coherence entre votre taille reelle et la sophistication de votre gouvernance TIC.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour qualifier votre statut DORA et mesurer l'ecart de gouvernance avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 38

Ils nous font confiance

Avant de discuter