Je dois mettre mon organisation luxembourgeoise en conformité au considérant 5 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 5 acte un constat lourd : pendant 15 ans, le secteur financier européen a muscle sa résilience financière (Bale III, MREL, stress tests EBA) mais a néglige sa résilience numérique. La CSSF sanctionné aujourd'hui les entités qui traitent encore le risque TIC comme un sous-chapitre du risque opérationnel, géré par 2 personnes au service IT, sans pilotage board et sans cartographie de la chaîne de dependance numérique. DORA renverse cette logique : la résilience opérationnelle numérique devient un pilier autonome, au même niveau que le risque de crédit ou de liquidité.Ce que ce considérant change concretement dans votre projet DORALe risque TIC sort du paragraphe 'risque opérationnel' de votre ICAAP/ORSA : il doit avoir sa propre gouvernance, son propre budget, son propre reporting board.La conformité ne se mesure plus par 'on a un firewall et un EDR' : elle se mesure par la capacité a démontrer une résilience opérationnelle bout-en-bout (détection, réponse, récupération, continuité).Les entités qui ont coche les cases de la circulaire CSSF 20/750 (gouvernance TIC, externalisation cloud) ont une base, mais DORA va plus loin : tests de résilience avances (TLPT), registre des prestataires tiers TIC, gestion des incidents majeurs harmonisée.La CSSF attend une trajectoire documentée : ou en etiez-vous avant DORA, ou en etes-vous aujourd'hui, ou serez-vous dans 12 mois sur chacun des 5 piliers (gouvernance, gestion du risque TIC, incidents, tests, tiers).Le test 'maturite DORA' que la CSSF attendLe legislateur, par ce considérant, vous demande implicitement de démontrer que vous avez comble l'angle mort historique. Concretement : un gap assessment formel entre votre dispositif pré-DORA (souvent base CSSF 20/750 + EBA Guidelines on ICT and Security Risk Management) et les exigences DORA, avec un plan de remédiation date et budgete, valide par le conseil d'administration. Sans ce document, en cas d'incident majeur ou de contrôle CSSF, vous ne pouvez pas démontrer la diligence raisonnable.Comment Luxgap automatise ce risqueNotre Luxgap DORA Maturity Compass transforme le gap assessment DORA en exercice continu et opposable, plutot qu'en mission de conseil ponctuelle a 80 000 EUR refaite chaque annee. L'outil se connecte a vos sources existantes (ServiceNow GRC, Archer, Microsoft Purview, Azure Sentinel, vos politiques SharePoint, vos contrats fournisseurs dans Ivalua ou Coupa) et calcule en temps réel votre score de maturité DORA sur les 5 piliers, mappe sur les 64 articles et les RTS/ITS publies par les ESAs.Scanne automatiquement vos politiques internes (PSSI, plan de continuité, charte d'externalisation) et detecte les clauses manquantes par rapport aux exigences DORA et aux RTS.Cartographie votre dispositif pré-DORA (CSSF 20/750, EBA GL, NIST CSF) et identifié précisément les delta a combler, sans repartir d'une feuille blanche.Genere un plan de remédiation priorisé par criticite réglementaire et effort de mise en œuv...

Considérant 5 DORA — Considérant 5

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 5

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(5)

Malgré des initiatives stratégiques et législatives ciblées aux niveaux de l’Union et national, le risque lié aux TIC représente toujours un défi pour la résilience opérationnelle, la performance et la stabilité du système financier de l’Union. Les réformes qui ont suivi la crise financière de 2008 ont principalement renforcé la résilience financière du secteur financier de l’Union et visaient à préserver la compétitivité et la stabilité de l’Union du point de vue économique, prudentiel et du comportement sur le marché. Bien que la sécurité des TIC et la résilience numérique fassent partie du risque opérationnel, le programme réglementaire d’après-crise financière leur a accordé moins d’importance, et elles n’ont été développées que dans certains domaines de la politique et du paysage réglementaire des services financiers de l’Union, ou seulement dans quelques États membres.

Spécificité Luxembourg

circulaire CSSF 20/750 du 14 decembre 2020 relative aux exigences en matiere de gouvernance et de gestion des risques en matiere de TIC et de securite

Au Luxembourg, la CSSF a anticipe DORA via la circulaire CSSF 20/750 (exigences en matière de gouvernance et de gestion des risques TIC et de sécurité) qui transposait les EBA Guidelines on ICT and Security Risk Management. Les entités supervisees CSSF (banques, PSF, gestionnaires de fonds, établissements de paiement, EMI) qui se conformaient deja a la 20/750 ont une base solide, mais la CSSF a clairement indique dans ses communications 2024 que DORA va au-dela : registre des prestataires tiers TIC au format ESAs, TLPT pour les entités significatives, et notification d'incidents majeurs sous 4h selon le template harmonise.

Pratique Luxgap : démarrez votre gap assessment DORA en partant explicitement de votre conformité 20/750 documentee, et identifiez les 6 a 8 chantiers DORA-specifiques (registre tiers TIC, TLPT, notification harmonisée, tests de résilience avances) qui constituent le vrai delta a financer.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 5 acte un constat lourd : pendant 15 ans, le secteur financier européen a muscle sa résilience financière (Bale III, MREL, stress tests EBA) mais a néglige sa résilience numérique. La CSSF sanctionné aujourd'hui les entités qui traitent encore le risque TIC comme un sous-chapitre du risque opérationnel, géré par 2 personnes au service IT, sans pilotage board et sans cartographie de la chaîne de dependance numérique. DORA renverse cette logique : la résilience opérationnelle numérique devient un pilier autonome, au même niveau que le risque de crédit ou de liquidité.

Ce que ce considérant change concretement dans votre projet DORA

Le risque TIC sort du paragraphe 'risque opérationnel' de votre ICAAP/ORSA : il doit avoir sa propre gouvernance, son propre budget, son propre reporting board.
La conformité ne se mesure plus par 'on a un firewall et un EDR' : elle se mesure par la capacité a démontrer une résilience opérationnelle bout-en-bout (détection, réponse, récupération, continuité).
Les entités qui ont coche les cases de la circulaire CSSF 20/750 (gouvernance TIC, externalisation cloud) ont une base, mais DORA va plus loin : tests de résilience avances (TLPT), registre des prestataires tiers TIC, gestion des incidents majeurs harmonisée.
La CSSF attend une trajectoire documentée : ou en etiez-vous avant DORA, ou en etes-vous aujourd'hui, ou serez-vous dans 12 mois sur chacun des 5 piliers (gouvernance, gestion du risque TIC, incidents, tests, tiers).

Le test 'maturite DORA' que la CSSF attend

Le legislateur, par ce considérant, vous demande implicitement de démontrer que vous avez comble l'angle mort historique. Concretement : un gap assessment formel entre votre dispositif pré-DORA (souvent base CSSF 20/750 + EBA Guidelines on ICT and Security Risk Management) et les exigences DORA, avec un plan de remédiation date et budgete, valide par le conseil d'administration. Sans ce document, en cas d'incident majeur ou de contrôle CSSF, vous ne pouvez pas démontrer la diligence raisonnable.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Maturity Compass transforme le gap assessment DORA en exercice continu et opposable, plutot qu'en mission de conseil ponctuelle a 80 000 EUR refaite chaque annee. L'outil se connecte a vos sources existantes (ServiceNow GRC, Archer, Microsoft Purview, Azure Sentinel, vos politiques SharePoint, vos contrats fournisseurs dans Ivalua ou Coupa) et calcule en temps réel votre score de maturité DORA sur les 5 piliers, mappe sur les 64 articles et les RTS/ITS publies par les ESAs.

Scanne automatiquement vos politiques internes (PSSI, plan de continuité, charte d'externalisation) et detecte les clauses manquantes par rapport aux exigences DORA et aux RTS.
Cartographie votre dispositif pré-DORA (CSSF 20/750, EBA GL, NIST CSF) et identifié précisément les delta a combler, sans repartir d'une feuille blanche.
Genere un plan de remédiation priorisé par criticite réglementaire et effort de mise en œuvre, avec jalons trimestriels prets a presenter au conseil d'administration.
Produit un dossier de maturité horodaté et signé cryptographiquement, opposable a la CSSF lors d'une inspection sur site ou d'un contrôle thematique TIC.
Alerte le RSSI et le DPO des qu'une nouvelle norme technique de réglementation (RTS) est publiee par les ESAs et impacte un de vos contrôles existants.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre dispositif actuel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition reelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 5

Ils nous font confiance

Avant de discuter