Je dois mettre mon organisation luxembourgeoise en conformité au considérant 44 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 44 DORA — Considérant 44

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 44

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(44)

Étant donné que seules les entités reconnues aux fins des tests de résilience numérique avancés devraient être tenues de procéder à des tests de pénétration fondés sur la menace, les processus administratifs et les coûts financiers induits par la réalisation de ces tests devraient être supportés par un petit pourcentage d’entités financières.

Spécificité Luxembourg

cadre TIBER-LU (BCL / CSSF) et loi luxembourgeoise du 1er juin 2023 relative aux marches d'instruments financiers

Au Luxembourg, le TLPT s'appuie sur le cadre TIBER-LU conjointement géré par la BCL et la CSSF, qui agissent comme TIBER Cyber Team nationale. La désignation des entités concernees par l'article 26 DORA suit les critères TIBER-EU publies par la BCE, adaptes a la place financiere luxembourgeoise (importance systemique, concentration des fonctions critiques de fonds UCITS/AIF et de banques depositaires).

Pratique Luxgap : si vous êtes administrateur de fonds, banque depositaire ou PSF de support concentre, anticipez une eventuelle désignation indirecte via vos clients regules. Notre Readiness Radar intégré la grille TIBER-LU et vous positionne sur l'échelle de probabilité des 24 prochains mois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 44 rappelle que le Threat-Led Penetration Testing (TLPT) de l'article 26 ne concerne qu'un petit nombre d'entités financieres, désignées par la CSSF selon leur taille, leur profil de risque et leur importance systemique. Le piège classique : croire qu'on est exempt parce qu'on est une petite entité, puis decouvrir lors de la désignation CSSF qu'on doit lancer un TLPT TIBER-LU en 6 mois sans avoir budgete ni l'équipe red team accreditee, ni la cellule blue team, ni le White Team interne. L'autre piège inverse : sur-investir dans un TLPT alors qu'on n'est pas désigné, en confondant TLPT et pentest classique.

Comment savoir si vous êtes dans le petit pourcentage concerne

Etes-vous une banque significative au sens du MSU, un CSD, une CCP, ou un acteur de paiement systemique au Luxembourg ?
Avez-vous deja recu une notification de la CSSF vous integrant au périmètre TIBER-LU ou TIBER-EU ?
Vos fonctions critiques (paiements, custody, trading, fund administration) sont-elles concentrees sur un nombre limite de systèmes TIC ?
Votre exposition transfrontalière est-elle matérielle (succursales UE, clientele cross-border, depositaire pour fonds UCITS/AIF) ?
Avez-vous deja une cartographie des flags et crown jewels mobilisables par un testeur externe accredite ?

Si vous repondez oui a deux de ces critères, anticipez la désignation : la CSSF ne previent pas 18 mois a l'avance. Si vous repondez non partout, le considérant 44 vous protégé, mais vous devez quand même satisfaire au basic testing de l'article 25 (vulnerability assessments, scans, tests de scénarios).

Comment Luxgap automatise ce risque

Notre Luxgap TLPT Readiness Radar vous dit, en 72 heures et avec un score chiffre opposable, si vous êtes dans le petit pourcentage du considérant 44 ou si un basic testing article 25 suffit, et budgete précisément la marché a franchir le cas echeant. L'outil ingere vos données CSSF (catégorie prudentielle, total bilan, AuM, volumes de paiement), votre cartographie des fonctions critiques au sens de l'article 8, votre registre des contrats TIC article 28, et croise tout cela avec la grille de critères TIBER-LU publiee par la BCL et la CSSF.

Calcule un score probabiliste de désignation TLPT sous 24 mois, base sur votre profil prudentiel et la trajectoire observee des entités deja désignées au Luxembourg et dans l'UE.
Genere une cartographie automatique des crown jewels et flags à partir de vos inventaires Azure, AWS, Active Directory et de vos fonctions critiques declarees.
Simule le budget complet d'un TLPT (red team accreditee, white team interne, threat intelligence provider, remédiation) avec fourchettes alignees sur le marché luxembourgeois.
Detecte les ecarts par rapport aux exigences article 26 et au cadre TIBER-LU, et liste les actions a executer avant la désignation pour ne pas être pris de cours.
Pour les entités hors périmètre, bascule automatiquement sur le plan de tests article 25 (scans, pentests cibles, exercices table-top) avec calendrier annuel pret pour la CSSF.
Produit un dossier PDF horodate opposable, signe cryptographiquement, a presenter en cas de question de la CSSF sur votre dispositif de tests de résilience numérique.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre statut prudentiel. Demandez votre demonstration et nos équipes preparent une analyse sur votre profil reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition a une désignation TLPT avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 44

Ils nous font confiance

Avant de discuter