Je dois mettre mon organisation luxembourgeoise en conformité au considérant 50 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 50 DORA — Considérant 50

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 50

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(50)

Si le présent règlement laisse aux entités financières une certaine latitude pour définir leurs objectifs en matière de délai et de point de rétablissement et, partant, pour fixer ces objectifs en tenant pleinement compte de la nature et de la criticité des fonctions concernées et de tout besoin spécifique, il devrait néanmoins leur imposer de mener une évaluation des incidences globales potentielles sur l’efficience du marché lors de la détermination de ces objectifs.

Spécificité Luxembourg

circulaires CSSF 24/847 et 22/806

Au Luxembourg, la CSSF attend une articulation explicite des RTO/RPO avec les fonctions du système financier national : participation a LuxCSD, Clearstream Banking Luxembourg, statut de banque depositaire OPCVM/FIA, et accès a TARGET2-LU via la BCL. La circulaire CSSF 24/847 sur la gestion des incidents TIC et la circulaire CSSF 22/806 sur l'externalisation precisent que la justification des objectifs de retablissement doit être documentee et tenir compte de l'effet sur la place financiere luxembourgeoise dans son ensemble.

Pratique Luxgap : nous calibrons vos RTO/RPO en croisant votre activité reelle (volumes de souscription/rachat OPCVM, conservation d'actifs, services de paiement) avec la cartographie des infrastructures de marché luxembourgeoises pour produire un dossier d'argumentation pret a CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 50 eclaire l'article 12 du DORA sur les politiques de sauvegarde et de retablissement. Le piège que la CSSF sanctionné, c'est l'entité financiere qui fixe des RTO et RPO uniquement sur la base de sa tolerance interne ou du cout du stockage, sans évaluer l'impact systemique sur le marché. Une banque depositaire qui se donne 48h pour restaurer son service de regalement-livraison exposé toute la chaîne post-marche luxembourgeoise. Le considérant impose donc une lecture externalisée du RTO/RPO : ce n'est plus un paramètre IT, c'est un paramètre de stabilite financiere.

Le test 'efficience du marché' : comment l'argumenter devant la CSSF

Pour qu'un RTO/RPO soit defendable au sens du considérant 50, il doit s'appuyer sur une analyse documentee qui croise quatre dimensions :

La criticite metier de la fonction concernee (fonction critique ou importante au sens de l'article 8(1) DORA).
Les interdependances de marché : participation a TARGET2, CSDR, contrepartie centrale, depositaire OPCVM, teneur de compte conservateur.
Les cycles de regalement (T+1, T+2) et les cut-off times qui rendent un retablissement tardif inutile.
L'effet de contagion sur les autres entités financieres clientes, contreparties ou utilisatrices de la fonction.

Un RTO fixe sans cette analyse sera requalifie par la CSSF comme non conforme a l'esprit du considérant 50, même si le chiffre absolu parait raisonnable. La traçabilite de l'argumentation compte autant que le chiffre lui-meme.

Comment Luxgap automatise ce risque

Notre Luxgap Market Impact Calibrator transforme la fixation des RTO/RPO en exercice argumente et opposable a la CSSF, au lieu d'un chiffre arbitraire pose par la DSI. L'outil cartographie automatiquement vos fonctions critiques en croisant votre registre DORA, vos flux TARGET2/T2S, votre participation aux infrastructures de marché luxembourgeoises (LuxCSD, Clearstream, BCL) et vos contrats clients pour calculer un RTO/RPO calibre sur l'impact systemique reel.

Detecte chaque fonction critique ou importante en s'appuyant sur votre registre des fonctions DORA et votre cartographie des processus metier.
Modelise les interdependances de marché en se connectant aux flux SWIFT, TARGET2, T2S'et aux contrats de niveau de service avec vos contreparties.
Calcule un RTO/RPO defendable par fonction, avec scénarios de contagion chiffres (combien de contreparties impactees, quel volume notional bloque, quel cut-off rate).
Genere automatiquement le memorandum d'argumentation pret a transmettre a la CSSF lors d'un contrôle ou d'une demande au titre de l'article 6(8) DORA.
Reevalue trimestriellement vos objectifs en fonction de l'évolution des volumes, des nouvelles contreparties et des changements réglementaires (CSDR refit, T+1).
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle CSSF ou d'une revue par l'EBA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos fonctions critiques reelles, avec un audit blanc gratuit sous 48h pour mesurer la defendabilite de vos RTO/RPO actuels avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 50

Ils nous font confiance

Avant de discuter