Je dois mettre mon organisation luxembourgeoise en conformité au considérant 45 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 45 pose un principe que la CSSF applique strictement lors de ses contrôles : la responsabilité ultime de la gestion du risque TIC appartient a l'organe de direction, qui ne peut ni la déléguer entièrement au CISO, ni se contenter d'une validation formelle annuelle. Le piège classique consiste a presenter un cadre de gestion du risque TIC techniquement solide mais sans trace documentee d'implication continue du conseil d'administration ou du comite executif. La CSSF sanctionné le decalage entre la stratégie d'entreprise validee au plus haut niveau et la réalité opérationnelle de la résilience numérique, ainsi que l'absence de culture cyber au sein des équipes metier.Ce que signifié concretement 'rôle actif et determinant'Validation explicite et documentee du cadre de gestion du risque TIC par l'organe de direction, avec proces-verbaux détaillés (pas une simple mention 'approuve').Revue périodique (au minimum annuelle, ideallement trimestrielle) de la stratégie de résilience opérationnelle numérique, avec indicateurs clés presentes au conseil.Programme de sensibilisation cyber couvrant l'intégralité du personnel, y compris les administrateurs eux-memes (formation spécifique organe de direction obligatoire en vertu de l'article 5(4) DORA).Politique d'hygiene informatique declinee en règles concretes : gestion des mots de passe, MFA, classification des données, usage des terminaux personnels, signalement des incidents.Engagement continu sur le suivi : tableau de bord cyber presente a chaque conseil, alertes immediates en cas d'incident majeur, revue post-incident formelle.Tracabilite de la chaîne de responsabilité : qui valide quoi, qui est informe, qui escalade, avec horodatage opposable.Comment Luxgap automatise ce risqueNotre Luxgap Board Résilience Cockpit transforme l'obligation déclarative de l'organe de direction en preuve opposable et continue, en eliminant le syndrome du PowerPoint trimestriel ressorti la veille du conseil. L'outil agrege en temps reel les signaux de votre cadre TIC (Microsoft Defender, Sentinel, CrowdStrike, ServiceNow GRC, AWS Security Hub, registre des prestataires tiers) et les transforme en un tableau de bord executif horodate, signe cryptographiquement, pret a être presente a la CSSF lors d'une inspection sur place.Genere automatiquement le proces-verbal cyber du conseil d'administration à partir des décisions enregistrées, avec piste d'audit complète des votes et des reserves exprimees.Calcule un score de maturite organe de direction sur les 12 dimensions de DORA (gouvernance, stratégie, ressources, formation, suivi) et alerte des qu'un indicateur passe sous seuil.Detecte les ecarts entre la stratégie validee au conseil et l'exécution opérationnelle reelle, en croisant les politiques approuvees avec les configurations effectives de votre SI.Pilote le programme de formation cyber des administrateurs eux-memes (parcours spécifique article 5(4) DORA) avec attestations horodatees opposa...

Considérant 45 DORA — Considérant 45

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 45

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(45)

Pour garantir une concordance complète et une cohérence globale entre les stratégies d’entreprise des entités financières, d’une part, et la mise en œuvre de la gestion du risque lié aux TIC, d’autre part, les organes de direction des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC et de la stratégie globale de résilience opérationnelle numérique. L’approche adoptée par les organes de direction devrait non seulement être axée sur les moyens de garantir la résilience des systèmes de TIC, mais également couvrir les personnes et les processus au travers d’un ensemble de politiques qui suscitent, à chaque niveau de l’entreprise et auprès de l’ensemble du personnel, une prise de conscience aiguë des cyberrisques et un engagement à respecter une hygiène informatique rigoureuse à tous les niveaux. La responsabilité ultime de l’organe de direction dans la gestion du risque lié aux TIC d’une entité financière devrait constituer un principe fondamental de cette approche globale, concrétisé par l’engagement continu de l’organe de direction dans le contrôle du suivi de la gestion du risque lié aux TIC.

Spécificité Luxembourg

Circulaires CSSF 20/750 et 22/806

Au Luxembourg, la CSSF a précisé dans sa circulaire CSSF 22/806 sur les arrangements d'externalisation et sa circulaire CSSF 20/750 sur la gouvernance des risques TIC et de sécurité que l'organe de direction doit nominativement désigner un membre responsable de la supervision du risque TIC, et que les PV de conseil doivent expliciter les décisions prises sur la résilience opérationnelle. La CSSF vérifié systématiquement la presence de ces traces lors des inspections sur place et des SREP annuels.

Pratique Luxgap : nous parametrons le cockpit pour produire automatiquement le format de reporting attendu par la CSSF (matrice circulaire 20/750) et alimentons votre dossier ICAAP/ILAAP avec les indicateurs DORA correspondants, sans double saisie.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 45 pose un principe que la CSSF applique strictement lors de ses contrôles : la responsabilité ultime de la gestion du risque TIC appartient a l'organe de direction, qui ne peut ni la déléguer entièrement au CISO, ni se contenter d'une validation formelle annuelle. Le piège classique consiste a presenter un cadre de gestion du risque TIC techniquement solide mais sans trace documentee d'implication continue du conseil d'administration ou du comite executif. La CSSF sanctionné le decalage entre la stratégie d'entreprise validee au plus haut niveau et la réalité opérationnelle de la résilience numérique, ainsi que l'absence de culture cyber au sein des équipes metier.

Ce que signifié concretement 'rôle actif et determinant'

Validation explicite et documentee du cadre de gestion du risque TIC par l'organe de direction, avec proces-verbaux détaillés (pas une simple mention 'approuve').
Revue périodique (au minimum annuelle, ideallement trimestrielle) de la stratégie de résilience opérationnelle numérique, avec indicateurs clés presentes au conseil.
Programme de sensibilisation cyber couvrant l'intégralité du personnel, y compris les administrateurs eux-memes (formation spécifique organe de direction obligatoire en vertu de l'article 5(4) DORA).
Politique d'hygiene informatique declinee en règles concretes : gestion des mots de passe, MFA, classification des données, usage des terminaux personnels, signalement des incidents.
Engagement continu sur le suivi : tableau de bord cyber presente a chaque conseil, alertes immediates en cas d'incident majeur, revue post-incident formelle.
Tracabilite de la chaîne de responsabilité : qui valide quoi, qui est informe, qui escalade, avec horodatage opposable.

Comment Luxgap automatise ce risque

Notre Luxgap Board Résilience Cockpit transforme l'obligation déclarative de l'organe de direction en preuve opposable et continue, en eliminant le syndrome du PowerPoint trimestriel ressorti la veille du conseil. L'outil agrege en temps reel les signaux de votre cadre TIC (Microsoft Defender, Sentinel, CrowdStrike, ServiceNow GRC, AWS Security Hub, registre des prestataires tiers) et les transforme en un tableau de bord executif horodate, signe cryptographiquement, pret a être presente a la CSSF lors d'une inspection sur place.

Genere automatiquement le proces-verbal cyber du conseil d'administration à partir des décisions enregistrées, avec piste d'audit complète des votes et des reserves exprimees.
Calcule un score de maturite organe de direction sur les 12 dimensions de DORA (gouvernance, stratégie, ressources, formation, suivi) et alerte des qu'un indicateur passe sous seuil.
Detecte les ecarts entre la stratégie validee au conseil et l'exécution opérationnelle reelle, en croisant les politiques approuvees avec les configurations effectives de votre SI.
Pilote le programme de formation cyber des administrateurs eux-memes (parcours spécifique article 5(4) DORA) avec attestations horodatees opposables.
Produit un dossier d'inspection CSSF pret a l'emploi : cadre TIC, PV de validation, indicateurs de suivi, preuves de revue, cryptographiquement scelle et exportable en un clic.
Alerte instantanement les administrateurs sur Teams ou Outlook des qu'un incident majeur impose un arbitrage de leur niveau, avec contexte pre-machine et options de décision.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre gouvernance reelle, avec un audit blanc gratuit sous 48h pour mesurer l'exposition de votre organe de direction avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 45

Ils nous font confiance

Avant de discuter