Je dois mettre mon organisation luxembourgeoise en conformité au considérant 42 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 42 introduit le cadre simplifié de gestion du risque TIC au titre de l'article 16 DORA. Le piège classique constaté par la CSSF est l'auto-qualification erronée : une petite entreprise d'investissement, une IORP de moins de 100 affiliés, ou un établissement de paiement exempté au titre de la loi luxembourgeoise du 10 novembre 2009 se croit dans le régime simplifié, alors qu'un changement de seuil, une interconnexion technique avec un autre acteur, ou la perte de l'exemption nationale la fait basculer dans le régime général. Sans documentation traçable du statut, l'entité est sanctionnée non pas pour avoir choisi le mauvais régime, mais pour ne pas pouvoir démontrer la légitimité de son choix.Comment opérationnaliser la proportionnalité voulue par le législateurLe considérant 42 n'est pas une dispense, c'est une invitation a la rigueur déclarative. Concrètement, l'entité financière doit :Documenter sa qualification (petite entreprise d'investissement non interconnectée au sens du règlement IFR/IFD, IORP exemptée au titre de l'article 5 de la directive 2016/2341, EMI/PI exemptée au titre du droit luxembourgeois).Revérifier cette qualification a chaque clôture annuelle et a chaque évènement structurant (croissance, nouvelle interconnexion, nouveau service).Maintenir un cadre TIC simplifié qui reste auditable par la CSSF : politique TIC, registre des incidents, tests de résilience adaptés, supervision des prestataires tiers TIC.Préparer le scénario de bascule vers le régime général si les seuils sont franchis (transition documentée, pas brutale).Comment Luxgap automatise ce risqueNotre Luxgap DORA Proportionality Gauge élimine l'angle mort de l'auto-qualification en surveillant en continu votre éligibilité au régime simplifié article 16 DORA. L'outil se connecte a vos systèmes de reporting réglementaire CSSF (eDesk, reporting FINREP/COREP, registres IORP), a votre ERP (Odoo, Sage BOB 50) et a vos référentiels juridiques internes pour recalculer chaque mois votre statut, sans demander au RCO ou au CISO de remplir le moindre tableau Excel.Détecte automatiquement votre qualification DORA (régime général ou simplifié) en croisant taille de bilan, nombre d'affiliés, statut d'exemption national et critères d'interconnexion IFR/IFD.Alerte en temps réel via Teams ou email dès qu'un seuil approche du basculement (ex : 95 affiliés sur 100 pour une IORP, croissance d'actifs sous gestion).Génère le dossier de qualification opposable a la CSSF : note juridique, preuves chiffrées, références aux articles applicables, horodatage cryptographique.Calibre automatiquement les exigences TIC applicables (cadre simplifié article 16 vs cadre général articles 5 a 15) et identifié les écarts résiduels.Produit un rapport PDF horodaté, scellé, opposable lors d'un contrôle CSSF, qui démontre la légitimité de votre régime tout au long de l'exercice.Prépare le plan de bascule vers le régime général avec rétroplanning des actions TIC complémenta...

Considérant 42 DORA — Considérant 42

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 42

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(42)

En vertu du droit sectoriel de l’Union, certaines entités financières sont soumises à des exigences moins strictes ou à des exemptions pour des raisons liées à leur taille ou aux services qu’elles fournissent. Cette catégorie d’entités financières inclut les petites entreprises d’investissement non interconnectées, les petites institutions de retraite professionnelle qui peuvent être exclues du champ d’application de la directive (UE) 2016/2341 dans les conditions prévues à l’article 5 de ladite directive par l’État membre concerné et qui gèrent des régimes de pension qui, ensemble, n’ont pas plus de cent affiliés au total, ainsi que les institutions exemptées en vertu de la directive 2013/36/UE. Par conséquent, conformément au principe de proportionnalité et afin de préserver l’esprit du droit sectoriel de l’Union, il convient également de soumettre ces entités financières à un cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement. Le caractère proportionné du cadre de gestion du risque lié aux TIC couvrant ces entités financières ne devrait pas être modifié par les normes techniques de réglementation qui doivent être élaborées par les AES. De plus, conformément au principe de proportionnalité, il convient de soumettre également les établissements de paiement visés à l’article 32, paragraphe 1, de la directive (UE) 2015/2366 et les établissements de monnaie électronique visés à l’article 9 de la directive 2009/110/CE exemptés conformément aux dispositions de droit national transposant ces actes juridiques de l’Union à un cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement, tandis que les établissements de paiement et les établissements de monnaie électronique qui n’ont pas été exemptés conformément aux dispositions de leur droit national respectif transposant le droit sectoriel de l’Union devraient respecter le cadre général établi par le présent règlement.

Spécificité Luxembourg

loi modifiee du 10 novembre 2009 relative aux services de paiement

Au Luxembourg, l'autorité compétente pour DORA est la CSSF pour la majorité des entités financières, et le Commissariat aux Assurances (CAA) pour les entreprises d'assurance et de réassurance. Les exemptions des établissements de paiement et des EMI visées au considérant 42 sont opérées par la loi modifiée du 10 novembre 2009 relative aux services de paiement (articles 48 et 48-13), qui transpose les directives 2015/2366 et 2009/110/CE. Une entité exemptée au titre de cette loi luxembourgeoise relève bien du cadre simplifié article 16 DORA, mais reste sous supervision CSSF.

Pratique Luxgap : nous recommandons de joindre la décision d'exemption CSSF datée au dossier de qualification DORA, et de la rafraîchir annuellement, car la CSSF peut retirer l'exemption en cas de dépassement du seuil de 3 millions d'euros de volume mensuel de paiements.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 42 introduit le cadre simplifié de gestion du risque TIC au titre de l'article 16 DORA. Le piège classique constaté par la CSSF est l'auto-qualification erronée : une petite entreprise d'investissement, une IORP de moins de 100 affiliés, ou un établissement de paiement exempté au titre de la loi luxembourgeoise du 10 novembre 2009 se croit dans le régime simplifié, alors qu'un changement de seuil, une interconnexion technique avec un autre acteur, ou la perte de l'exemption nationale la fait basculer dans le régime général. Sans documentation traçable du statut, l'entité est sanctionnée non pas pour avoir choisi le mauvais régime, mais pour ne pas pouvoir démontrer la légitimité de son choix.

Comment opérationnaliser la proportionnalité voulue par le législateur

Le considérant 42 n'est pas une dispense, c'est une invitation a la rigueur déclarative. Concrètement, l'entité financière doit :

Documenter sa qualification (petite entreprise d'investissement non interconnectée au sens du règlement IFR/IFD, IORP exemptée au titre de l'article 5 de la directive 2016/2341, EMI/PI exemptée au titre du droit luxembourgeois).
Revérifier cette qualification a chaque clôture annuelle et a chaque évènement structurant (croissance, nouvelle interconnexion, nouveau service).
Maintenir un cadre TIC simplifié qui reste auditable par la CSSF : politique TIC, registre des incidents, tests de résilience adaptés, supervision des prestataires tiers TIC.
Préparer le scénario de bascule vers le régime général si les seuils sont franchis (transition documentée, pas brutale).

Comment Luxgap automatise ce risque

Notre Luxgap DORA Proportionality Gauge élimine l'angle mort de l'auto-qualification en surveillant en continu votre éligibilité au régime simplifié article 16 DORA. L'outil se connecte a vos systèmes de reporting réglementaire CSSF (eDesk, reporting FINREP/COREP, registres IORP), a votre ERP (Odoo, Sage BOB 50) et a vos référentiels juridiques internes pour recalculer chaque mois votre statut, sans demander au RCO ou au CISO de remplir le moindre tableau Excel.

Détecte automatiquement votre qualification DORA (régime général ou simplifié) en croisant taille de bilan, nombre d'affiliés, statut d'exemption national et critères d'interconnexion IFR/IFD.
Alerte en temps réel via Teams ou email dès qu'un seuil approche du basculement (ex : 95 affiliés sur 100 pour une IORP, croissance d'actifs sous gestion).
Génère le dossier de qualification opposable a la CSSF : note juridique, preuves chiffrées, références aux articles applicables, horodatage cryptographique.
Calibre automatiquement les exigences TIC applicables (cadre simplifié article 16 vs cadre général articles 5 a 15) et identifié les écarts résiduels.
Produit un rapport PDF horodaté, scellé, opposable lors d'un contrôle CSSF, qui démontre la légitimité de votre régime tout au long de l'exercice.
Prépare le plan de bascule vers le régime général avec rétroplanning des actions TIC complémentaires si vos seuils évoluent.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre périmètre réel, avec un audit blanc gratuit sous 48h pour confirmer votre éligibilité au régime simplifié avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 42

Ils nous font confiance

Avant de discuter