Je dois mettre mon organisation luxembourgeoise en conformité au considérant 51 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 51 pose l'intention stratégique du legislateur : centraliser et harmoniser la notification des incidents TIC majeurs vers une seule autorité competente par entité financiere. En pratique, la CSSF sanctionné deux derives sur ce point : la notification tardive (au-dela des fenetres prévues par l'article 19 et les RTS associes) et la notification eclatee entre plusieurs canaux (CSSF generaliste, CSSF prudentiel, CSSF LBC/FT, BCL) qui dilue la tracabilite. Pour les établissements de crédit importants au sens de l'article 6(4) du règlement MSU, la chaîne CSSF puis BCE doit être opérationnelle des le premier incident, sans improvisation.Ce que ce considérant change concretement dans votre dispositifIdentifier ex-ante l'autorité competente unique destinataire au Luxembourg (CSSF pour la majorite des entités financieres, avec transmission a la BCE pour les significant institutions).Cartographier les autres canaux possiblement actives en parallele (BCL pour les systèmes de paiement, CNPD pour la notification 33 RGPD, ITM, autorité sectorielle assurance) et definir l'ordre de déclenchement.Pre-rediger les gabarits de notification initiale, intermédiaire et finale aux formats imposes par les RTS DORA (champs structures, taxonomie d'incident, root cause).Chronometrer en exercice (table-top et red team) le délai entre détection SOC et envoi effectif a la CSSF : objectif inférieur a 4 heures pour la notification initiale.Tracer chaque communication sortante avec horodatage opposable, pour démontrer la conformité en cas d'inspection sur place CSSF.Comment Luxgap automatise ce risqueNotre Luxgap Incident Reporting Orchestrator transforme la notification d'incident TIC majeur en chaîne automatisée horodatee, opposable a la CSSF et a la BCE. L'outil branche un agent IA sur vos sources de détection (Microsoft Sentinel, CrowdStrike Falcon, Defender XDR, Wazuh, splunk SOAR, tickets ServiceNow) et applique en temps reel les critères de classification major incident definis par les RTS DORA, pour déclencher la procédure de notification sans intervention manuelle.Classifie automatiquement chaque alerte SOC selon les sept critères DORA (clients impactes, perte de données, durée, criticite economique, propagation géographique, reputationnelle, transactions affectees) et calcule le score de seuil major.Pre-remplit les gabarits initial, intermédiaire et final aux formats RTS attendus par la CSSF, en allant chercher les metadonnees techniques directement dans le SIEM et la CMDB.Identifié l'autorité competente unique selon votre statut (CSSF directe ou CSSF puis BCE pour les significant institutions MSU article 6(4)) et evite les doubles envois contradictoires.Déclenche en parallele les notifications connexes (CNPD article 33 RGPD si données personnelles, BCL si système de paiement) avec une logique d'arbre de décision auditable.Produit un dossier PDF cryptographiquement scelle, horodate via TSA qualifiée eIDAS, opposable lors d'un contrôle...

Considérant 51 DORA — Considérant 51

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 51

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(51)

Les propagateurs de cyberattaques cherchent généralement des gains financiers directement à la source, exposant ainsi les entités financières à des répercussions importantes. Pour prévenir toute perte d’intégrité des systèmes de TIC ou toute indisponibilité de ceux-ci, et ainsi éviter toute violation de données et tout dommage à l’infrastructure physique de TIC, les entités financières devraient améliorer et rationaliser considérablement la notification des incidents majeurs liés aux TIC. La notification des incidents liés aux TIC devrait être harmonisée par l’introduction d’une obligation pour toutes les entités financières de soumettre une notification directement à leurs autorités compétentes concernées. Lorsqu’une entité financière est soumise à une surveillance par plus d’une autorité compétente nationale, les États membres devraient désigner une seule autorité compétente comme destinataire de cette notification. Les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013 du Conseil (19) devraient soumettre cette notification à l’autorité compétente nationale, qui devrait ensuite transmettre le rapport à la Banque centrale européenne (BCE).

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 modifiant la loi du 5 avril 1993 relative au secteur financier, et circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité competente unique désignée pour la reception des notifications d'incidents TIC majeurs au titre de DORA pour la quasi-totalite des entités financieres régulées (établissements de crédit, PSF, établissements de paiement, EME, OPC, AIFM, entreprises d'investissement). Pour les significant institutions au sens de l'article 6(4) du règlement MSU, la CSSF assure ensuite la transmission a la BCE. La loi du 1er juin 2023 modifiant la loi du 5 avril 1993 relative au secteur financier et les circulaires CSSF d'application (notamment CSSF 24/847 sur la notification des incidents) precisent les canaux opérationnels (portail eDesk dedie) et les délais.

Pratique Luxgap : configurez votre orchestrateur d'incidents avec un canal primaire CSSF eDesk et un canal secondaire CNPD pour les incidents mixtes TIC/données personnelles, en evitant tout envoi parallele a la BCL sauf système de paiement explicitement concerne.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 51 pose l'intention stratégique du legislateur : centraliser et harmoniser la notification des incidents TIC majeurs vers une seule autorité competente par entité financiere. En pratique, la CSSF sanctionné deux derives sur ce point : la notification tardive (au-dela des fenetres prévues par l'article 19 et les RTS associes) et la notification eclatee entre plusieurs canaux (CSSF generaliste, CSSF prudentiel, CSSF LBC/FT, BCL) qui dilue la tracabilite. Pour les établissements de crédit importants au sens de l'article 6(4) du règlement MSU, la chaîne CSSF puis BCE doit être opérationnelle des le premier incident, sans improvisation.

Ce que ce considérant change concretement dans votre dispositif

Identifier ex-ante l'autorité competente unique destinataire au Luxembourg (CSSF pour la majorite des entités financieres, avec transmission a la BCE pour les significant institutions).
Cartographier les autres canaux possiblement actives en parallele (BCL pour les systèmes de paiement, CNPD pour la notification 33 RGPD, ITM, autorité sectorielle assurance) et definir l'ordre de déclenchement.
Pre-rediger les gabarits de notification initiale, intermédiaire et finale aux formats imposes par les RTS DORA (champs structures, taxonomie d'incident, root cause).
Chronometrer en exercice (table-top et red team) le délai entre détection SOC et envoi effectif a la CSSF : objectif inférieur a 4 heures pour la notification initiale.
Tracer chaque communication sortante avec horodatage opposable, pour démontrer la conformité en cas d'inspection sur place CSSF.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Reporting Orchestrator transforme la notification d'incident TIC majeur en chaîne automatisée horodatee, opposable a la CSSF et a la BCE. L'outil branche un agent IA sur vos sources de détection (Microsoft Sentinel, CrowdStrike Falcon, Defender XDR, Wazuh, splunk SOAR, tickets ServiceNow) et applique en temps reel les critères de classification major incident definis par les RTS DORA, pour déclencher la procédure de notification sans intervention manuelle.

Classifie automatiquement chaque alerte SOC selon les sept critères DORA (clients impactes, perte de données, durée, criticite economique, propagation géographique, reputationnelle, transactions affectees) et calcule le score de seuil major.
Pre-remplit les gabarits initial, intermédiaire et final aux formats RTS attendus par la CSSF, en allant chercher les metadonnees techniques directement dans le SIEM et la CMDB.
Identifié l'autorité competente unique selon votre statut (CSSF directe ou CSSF puis BCE pour les significant institutions MSU article 6(4)) et evite les doubles envois contradictoires.
Déclenche en parallele les notifications connexes (CNPD article 33 RGPD si données personnelles, BCL si système de paiement) avec une logique d'arbre de décision auditable.
Produit un dossier PDF cryptographiquement scelle, horodate via TSA qualifiée eIDAS, opposable lors d'un contrôle CSSF pour démontrer le respect des fenetres temporelles DORA.
Mesure en continu, sur vos exercices reels, le délai detection-notification et alerte si la trajectoire depasse 80 pour cent du seuil réglementaire.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre prudentiel. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre SOC reel, avec un audit blanc gratuit sous 48h pour mesurer votre délai actuel de notification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 51

Ils nous font confiance

Avant de discuter