Je dois mettre mon organisation luxembourgeoise en conformité au considérant 39 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 39 DORA — Considérant 39

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 39

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(39)

Certaines entités financières bénéficient d’exemptions ou sont soumises à un cadre réglementaire très léger en vertu du droit sectoriel applicable de l’Union. Ces entités financières comprennent les gestionnaires de fonds d’investissement alternatifs visés à l’article 3, paragraphe 2, de la directive 2011/61/UE du Parlement européen et du Conseil (16), les entreprises d’assurance et de réassurance visées à l’article 4 de la directive 2009/138/CE du Parlement européen et du Conseil (17) et les institutions de retraite professionnelle gérant des régimes de retraite qui, ensemble, n’ont pas plus de quinze affiliés au total. Compte tenu de ces exemptions, il ne serait pas proportionné d’inclure ces entités financières dans le champ d’application du présent règlement. En outre, le présent règlement tient compte des spécificités de la structure du marché de l’intermédiation en assurance, de sorte que les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire qui sont considérés comme des microentreprises ou des petites ou moyennes entreprises ne devraient pas relever du présent règlement.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre de DORA

Au Luxembourg, la CSSF est l'autorité competente DORA pour les entités financieres listees a l'article 2, et le CAA reste competent pour les entreprises d'assurance et les intermédiaires d'assurance. La loi luxembourgeoise du 1er aout 2024 portant mise en œuvre de DORA désigné explicitement la CSSF et le CAA comme autorités de supervision et de sanction, et clarifie que les entités exemptees au titre du considérant 39 restent soumises aux exigences TIC nationales prévues par la circulaire CSSF 22/806 sur l'externalisation et la circulaire CAA 22/15 sur la gouvernance.

Pratique Luxgap : même exempte de DORA, une entité reguleee Luxembourg doit produire annuellement un dossier de conformité TIC opposable a son autorité de tutelle. Nous integrons systématiquement les exigences CSSF 22/806 et CAA 22/15 dans le Scope Vérifier pour eviter le piège de la fausse exemption.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 39 fixe les exclusions de DORA : AIFM sous-seuil (article 3(2) AIFMD), assureurs sous-seuil (article 4 Solvabilite II), IRP avec moins de 15 affilies, et intermédiaires d'assurance qualifiés de micro/petite/moyenne entreprise. Le piège observe par la CSSF : des entités se declarent exclues par confort, sans documenter le calcul du seuil ni la qualification PME au sens de la recommandation 2003/361/CE. Le jour d'un contrôle, l'exclusion s'effondre si elle n'est pas démontrée par ecrit, et l'entité se retrouve retroactivement non-conforme a l'intégralité de DORA depuis le 17 janvier 2025.

Les critères qu'il faut figer noir sur blanc

AIFM article 3(2) : actifs sous gestion inférieurs a 100 M'EUR avec effet de levier, ou 500 M'EUR sans levier et sans droit de rachat pendant 5 ans.
Assureurs article 4 Solvabilite II : primes annuelles inférieures a 5 M'EUR, provisions techniques inférieures a 25 M'EUR, et activité non transfrontalière ni de reassurance acceptee.
IRP : moins de 15 affilies au total, agreges sur tous les regimes geres.
Intermédiaires d'assurance : critère PME au sens de la recommandation 2003/361/CE (moins de 250 salariés ET chiffre d'affaires inférieur a 50 M'EUR OU bilan inférieur a 43 M'EUR).
Le statut doit être reevalue annuellement : un AIFM qui franchit 100 M'EUR en cours d'annee bascule intégralement sous DORA et doit deployer le cadre TIC dans les délais fixes par la CSSF.

L'angle mort PME

être exclu de DORA ne signifié pas être exclu de NIS 2, de la loi luxembourgeoise du 28 juillet 2023 sur le secteur financier, ni des exigences de continuite d'activité imposees par la CSSF via la circulaire 22/806 sur l'externalisation. Beaucoup d'intermédiaires d'assurance qualifiés PME pensent être hors radar et decouvrent qu'ils restent soumis a un socle TIC equivalent par d'autres canaux. L'exclusion DORA est etroite, pas absolue.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Scope Vérifier rend impossible la fausse exclusion : l'outil calcule en continu votre eligibilite aux exemptions du considérant 39 en se connectant a vos systèmes comptables et de gestion (Sage BOB 50, Cegid Quadra, Odoo, votre administrateur de fonds, votre actuaire), recalcule mensuellement les seuils AIFMD, Solvabilite II et PME, et produit une attestation horodatee opposable a la CSSF qui démontré votre statut a chaque date de cloture.

Recupere automatiquement les AUM, primes brutes, provisions techniques et effectifs depuis vos systèmes sources, sans saisie manuelle.
Calcule les quatre tests d'exemption (AIFM 3(2), assureur article 4, IRP 15 affilies, intermédiaire PME 2003/361/CE) avec horodatage cryptographique de chaque calcul.
Alerte par e-mail et Teams des qu'un seuil approche 90% du plafond, pour anticiper un basculement sous DORA avec 6 mois d'avance.
Genere un dossier d'exemption PDF signe, pret a être remis a la CSSF lors d'un contrôle thematique TIC.
Suit en parallele votre exposition residuelle a NIS 2 et a la circulaire CSSF 22/806, pour identifier les obligations TIC qui subsistent malgré l'exemption DORA.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour figer votre statut d'exemption avant tout contrôle CSSF.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 39

Ils nous font confiance

Avant de discuter