Je dois mettre mon organisation luxembourgeoise en conformité au considérant 48 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 48 DORA — Considérant 48

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 48

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(48)

Afin de rester en phase avec l’évolution des cybermenaces, les entités financières devraient maintenir des systèmes de TIC à jour qui soient fiables et capables non seulement de garantir le traitement des données requis pour leurs services, mais aussi d’assurer une résilience technologique suffisante pour leur permettre de faire face de manière adéquate aux besoins de traitement supplémentaires résultant d’épisodes de tensions sur les marchés ou d’autres situations défavorables.

Spécificité Luxembourg

CSSF Circular 24/847 on ICT risk management and notification of major ICT-related incidents

Au Luxembourg, la CSSF a publie en 2024 sa circulaire 24/847 sur la gestion des risques TIC et la notification des incidents, qui prend le relais des anciennes circulaires 20/750 et 22/806 pour s'aligner sur DORA. Elle précisé les attentes en matière de capacite et de tests de résilience pour les entités de droit luxembourgeois (banques, PSF, EMI, IFM).

Pratique Luxgap : pour les fonds AIFM/OPCVM domicilies au Luxembourg, nous calibrons le Résilience Forecaster sur les pics historiques de NAV strikes et de redemptions observes sur la place, pour produire une preuve de capacite directement alignee sur les attentes CSSF 24/847.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 48 eclaire l'article 7 du DORA sur la fiabilite et la capacite des systèmes TIC. La CSSF sanctionné deja les entités financieres dont les systèmes tombent ou se degradent lors de pics de volatilite (jours de marché tendus, NAV strikes massifs, redemptions en cascade sur fonds AIFM/OPCVM). Le piège : capacite calibree sur le trafic moyen, pas sur le scénario adverse, et obsolescence silencieuse des composants TIC critiques (OS hors support, librairies non patchees, appliances en fin de vie).

Ce que ce considérant impose en pratique aux articles 7 et 8

Capacite dimensionnee pour absorber un pic de charge en conditions de stress (volatilite extreme, flash crash, run sur fonds monetaires), pas seulement la charge nominale.
Inventaire TIC à jour avec versions, dates de fin de support, dependances critiques (article 8).
Politique de patch management et de renouvellement matériel formalisee, avec preuve d'exécution opposable a la CSSF.
Tests de charge et de stress technologique relies aux scénarios de stress financier (coherence avec ICAAP, ILAAP, ORSA selon l'entité).
Capacite de basculement vers le site secondaire sans degradation de service pendant les fenetres de tension marché.

Comment Luxgap automatise ce risque

Notre Luxgap ICT Résilience Forecaster transforme l'exigence floue de capacite suffisante en situation adverse en preuve chiffree opposable a la CSSF. L'outil correle en continu vos metriques d'infrastructure (Azure Monitor, AWS CloudWatch, vSphere, Datadog, Dynatrace) avec les indicateurs de stress marché (volatilite VIX, volumes Bloomberg, flux de souscriptions/redemptions Olympic ou Multifonds) pour prédire a 90 jours le moment ou votre capacite TIC va saturer en conditions de stress.

Detecte automatiquement les composants TIC obsoletes ou en fin de support (OS, middleware, appliances réseau, librairies) sur l'ensemble du parc connecte, sans inventaire manuel.
Simule mensuellement un scénario adverse (pic x5, latence réseau degradee, perte d'un datacenter) sur vos workloads critiques et calcule le delta entre capacite reelle et capacite requise article 7.
Correle les fenetres de tension marché historiques avec la consommation TIC observee pour produire un coefficient de stress propre a votre activité (banque privée, AIFM, PSF, EMI).
Genere le plan de capacite et de renouvellement technologique exige par les RTS, avec budget prévisionnel et echeancier de remplacement.
Produit un rapport trimestriel horodate, signe cryptographiquement, opposable lors d'une inspection CSSF ou d'un audit ECB SREP.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre infrastructure reelle, avec un audit blanc gratuit sous 48h pour mesurer votre capacite de résilience avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 48

Ils nous font confiance

Avant de discuter