Le piège classique
Le considérant 46 lié deux exigences que la CSSF vérifié ensemble lors de ses contrôles SREP et TIC : la responsabilité ultime de l'organe de direction (article 5 DORA) et le budget TIC effectivement alloue a la résilience opérationnelle. Le piège classique consiste a faire approuver une politique de gestion du risque TIC en conseil d'administration sans budget pluriannuel chiffre en face. Lors d'un contrôle, la CSSF demande systématiquement le proces-verbal du conseil approuvant le budget TIC, la trajectoire d'investissement sur 3 ans, et la coherence avec le niveau de résilience cible. L'absence de cette tracabilite financiere est interpretee comme un defaut de gouvernance, pas comme un simple sujet comptable.
Ce que ce considérant change concretement dans la mise en œuvre
Le considérant 46 n'est pas decoratif : il oriente l'interprétation des articles 5 (gouvernance), 6 (cadre de gestion du risque TIC) et 16 (cadre simplifié). Concretement, il impose une lecture budgetaire de la résilience numérique :
- Le budget TIC doit être vote par l'organe de direction, pas délégué au COO ou au CIO, avec une ligne identifiable pour la résilience (DRP, BCM, tests TLPT, threat intelligence, formation).
- La trajectoire pluriannuelle doit être coherente avec le profil de risque : une banque privée LU avec un cloud Tier 1 ne peut pas justifier le même niveau d'investissement qu'une fintech B2C.
- Les arbitrages budgetaires defavorables a la résilience (report d'un projet de segmentation, gel d'une licence EDR) doivent être documentes et motives au PV du conseil.
- L'auditeur interne et la fonction de conformité doivent pouvoir tracer chaque euro du budget TIC jusqu'à une exigence DORA précisé.
Comment Luxgap automatise ce risque
Notre Luxgap Board Résilience Budget transforme l'exigence diffuse du considérant 46 en un tableau de bord opposable a la CSSF, qui relie chaque ligne budgetaire TIC a un article DORA et a un objectif de résilience mesurable. L'outil va chercher vos données comptables analytiques dans Sage BOB 50, SAP ou Workday Finance, vos contrats fournisseurs TIC dans Odoo, et vos PV de conseil dans M365 SharePoint, puis reconstruit automatiquement la chaîne de tracabilite gouvernance, budget, résilience.
- Extrait automatiquement les lignes TIC de votre comptabilite analytique et les mappe sur les chapitres DORA (gestion du risque, tests, incidents, tiers, partagé d'information).
- Calcule un score de coherence budgetaire entre profil de risque declare a la CSSF, niveau de résilience cible et investissements reellement engages sur les 36 derniers mois.
- Detecte les arbitrages defavorables (sous-execution budgetaire, glissements, reports) et genere un projet de note au conseil pour formaliser la motivation.
- Produit le tableau de bord trimestriel de l'organe de direction exige par l'article 5, avec trajectoire pluriannuelle, taux d'exécution et alertes sur les ecarts de plus de 15%.
- Genere un rapport PDF horodate et cryptographiquement scelle, opposable a la CSSF, qui démontré que le conseil exerce sa responsabilité ultime de manière informee et financee.
- Alerte par Teams ou email des qu'un contrat TIC critique arrive a echeance sans renouvellement budgete, evitant les ruptures de couverture.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regule. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre comptabilite analytique reelle, avec un audit blanc gratuit sous 48h pour mesurer la coherence entre votre budget TIC actuel et vos obligations DORA avant tout engagement.
