Je dois mettre mon organisation luxembourgeoise en conformité au considérant 52 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 52 eclaire l'article 19 du DORA : la notification d'un incident majeur a la CSSF n'est pas un acte isole, c'est l'amorce d'une chaîne de transmission vers la CNPD (si données personnelles), le CSIRT national (GOVCERT.LU / CIRCL) au titre de NIS 2, et la Police judiciaire si nature criminelle. En pratique, les entités financieres luxembourgeoises sous-estiment ce maillage : elles notifient la CSSF puis oublient la notification CNPD 72h (article 33 RGPD), ou ignorent que l'état luxembourgeois peut imposer une notification directe complementaire au CSIRT. Résultat : double sanction, perte du bénéfice du conseil technique du CSIRT, et rupture du principe de cooperation loyale attendu par les autorités.Les flux d'information a cartographier avant le prochain incidentFlux entrant : la CSSF transmet votre rapport a la CNPD, au GOVCERT.LU, eventuellement aux services repressifs et aux AES (EBA, ESMA, EIOPA).Flux retour : la CSSF vous fournit feedback et orientations correctives, les AES diffusent des données anonymisees sur menacés et vulnerabilites associees.Notification parallele potentielle : si l'incident touche aussi des données personnelles, la notification CNPD 72h reste due independamment de la notification CSSF.Notification pénale : depot de plainte si exfiltration, rancongiciel, fraude au president, intrusion qualifiée, sans attendre la cloture du dossier CSSF.Coordination interne : DPO, RSSI, COO et juriste doivent partager une vue unique des destinataires et des délais, faute de quoi un canal sera oublie.Le test 'flux mutuel' : ce que la CSSF attend reellementLe considérant 52 insiste sur le caractère mutuel de la circulation d'information. Concretement, lors d'un contrôle post-incident, la CSSF verifiera que vous avez non seulement notifié, mais aussi recu, trace et exploite les retours d'information des autorités. Une entité qui ne peut pas démontrer comment elle a intégré les recommandations du GOVCERT.LU ou les alertes anonymisees des AES dans son plan de remédiation perd la présomption de diligence.Comment Luxgap automatise ce risqueNotre Luxgap Incident Channel Orchestrator elimine le risque d'oubli d'une autorité destinataire en orchestrant automatiquement la cartographie complète des notifications dues lors d'un incident TIC majeur. Des qu'un incident est qualifié dans votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike) ou declare manuellement dans la console, l'agent IA croise la nature de l'incident (données personnelles touchees, criticite metier, qualification pénale potentielle, transfrontalier) avec votre profil réglementaire (DORA + NIS 2 + RGPD) pour produire en moins de 5 minutes la liste exacte des autorités a notifier, dans quel ordre et avec quels délais légaux.Detecte automatiquement le déclenchement d'un incident majeur en se connectant a votre SIEM et a votre ITSM (ServiceNow, Jira) selon les seuils RTS DORA.Genere les projets de notification pre-remplis pour la CSSF (portail ...

Considérant 52 DORA — Considérant 52

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 52

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(52)

La notification directe devrait permettre aux autorités de surveillance financière d’avoir un accès immédiat aux informations sur les incidents majeurs liés aux TIC. Les autorités de surveillance financière devraient à leur tour transmettre des informations détaillées sur les incidents majeurs liés aux TIC aux autorités non financières publiques (telles que les autorités compétentes et les points de contact uniques relevant de la directive (UE) 2022/2555, les autorités nationales de protection des données et les services répressifs pour les incidents majeurs de nature criminelle liés aux TIC), afin de sensibiliser ces autorités à ces incidents et, dans le cas des CSIRT, de faciliter la fourniture d’une assistance rapide aux entités financières, le cas échéant. Les États membres devraient en outre être en mesure de déterminer que les entités financières elles-mêmes devraient fournir ces informations aux autorités publiques en dehors du domaine des services financiers. Ces flux d’information devraient permettre aux entités financières de bénéficier rapidement de toute contribution technique pertinente, de conseils sur les mesures correctives et d’un suivi ultérieur de la part de ces autorités. Les informations sur les incidents majeurs liés aux TIC devraient être communiquées sur une base mutuelle: les autorités de surveillance financière devraient fournir tous les retours d’information ou orientations nécessaires à l’entité financière, tandis que les AES devraient partager des données anonymisées sur les cybermenaces et les vulnérabilités liées à un incident, afin de contribuer à la défense collective au sens large.

Spécificité Luxembourg

loi luxembourgeoise du 28 mai 2025 portant transposition de la directive (UE) 2022/2555 (NIS 2) et circulaire CSSF 24/847 sur la notification des incidents TIC

Au Luxembourg, l'autorité de surveillance financiere désignée pour DORA est la CSSF, avec le CAA pour les entités du secteur assurance. La transposition NIS 2 via la loi du 28 mai 2025 et la loi instituant l'ILR comme autorité competente NIS 2 imposent que GOVCERT.LU et CIRCL (CSIRT privé) soient destinataires des informations d'incidents majeurs lorsque l'entité financiere est aussi qualifiée essentielle ou importante au sens de NIS 2. La CSSF a publie sa circulaire CSSF 24/847 sur la notification des incidents TIC qui précisé les canaux eDesk et les modalites pratiques.

Pratique Luxgap : cartographiez en amont si votre entité cumule les qualifications DORA et NIS 2 (cas frequent des grandes banques et PSF supports), car la double notification CSSF + ILR/GOVCERT.LU s'impose alors, avec des délais et formats distincts a orchestrer simultanement.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 52 eclaire l'article 19 du DORA : la notification d'un incident majeur a la CSSF n'est pas un acte isole, c'est l'amorce d'une chaîne de transmission vers la CNPD (si données personnelles), le CSIRT national (GOVCERT.LU / CIRCL) au titre de NIS 2, et la Police judiciaire si nature criminelle. En pratique, les entités financieres luxembourgeoises sous-estiment ce maillage : elles notifient la CSSF puis oublient la notification CNPD 72h (article 33 RGPD), ou ignorent que l'état luxembourgeois peut imposer une notification directe complementaire au CSIRT. Résultat : double sanction, perte du bénéfice du conseil technique du CSIRT, et rupture du principe de cooperation loyale attendu par les autorités.

Les flux d'information a cartographier avant le prochain incident

Flux entrant : la CSSF transmet votre rapport a la CNPD, au GOVCERT.LU, eventuellement aux services repressifs et aux AES (EBA, ESMA, EIOPA).
Flux retour : la CSSF vous fournit feedback et orientations correctives, les AES diffusent des données anonymisees sur menacés et vulnerabilites associees.
Notification parallele potentielle : si l'incident touche aussi des données personnelles, la notification CNPD 72h reste due independamment de la notification CSSF.
Notification pénale : depot de plainte si exfiltration, rancongiciel, fraude au president, intrusion qualifiée, sans attendre la cloture du dossier CSSF.
Coordination interne : DPO, RSSI, COO et juriste doivent partager une vue unique des destinataires et des délais, faute de quoi un canal sera oublie.

Le test 'flux mutuel' : ce que la CSSF attend reellement

Le considérant 52 insiste sur le caractère mutuel de la circulation d'information. Concretement, lors d'un contrôle post-incident, la CSSF verifiera que vous avez non seulement notifié, mais aussi recu, trace et exploite les retours d'information des autorités. Une entité qui ne peut pas démontrer comment elle a intégré les recommandations du GOVCERT.LU ou les alertes anonymisees des AES dans son plan de remédiation perd la présomption de diligence.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Channel Orchestrator elimine le risque d'oubli d'une autorité destinataire en orchestrant automatiquement la cartographie complète des notifications dues lors d'un incident TIC majeur. Des qu'un incident est qualifié dans votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike) ou declare manuellement dans la console, l'agent IA croise la nature de l'incident (données personnelles touchees, criticite metier, qualification pénale potentielle, transfrontalier) avec votre profil réglementaire (DORA + NIS 2 + RGPD) pour produire en moins de 5 minutes la liste exacte des autorités a notifier, dans quel ordre et avec quels délais légaux.

Detecte automatiquement le déclenchement d'un incident majeur en se connectant a votre SIEM et a votre ITSM (ServiceNow, Jira) selon les seuils RTS DORA.
Genere les projets de notification pre-remplis pour la CSSF (portail eDesk), la CNPD (formulaire en ligne), le GOVCERT.LU / CIRCL et les services repressifs, avec versions FR/EN/DE adaptees a chaque destinataire.
Trace chronologiquement chaque envoi, chaque accuse de reception et chaque retour d'information avec horodatage cryptographique opposable.
Centralise les feedbacks et orientations recues des autorités et les transforme en actions de remédiation assignees dans votre plan de continuite.
Ingere automatiquement les bulletins anonymises des AES et du CSIRT pour enrichir votre threat intelligence et déclencher des vérifications ciblees sur vos systèmes.
Produit un dossier post-incident PDF scelle, opposable a la CSSF, qui démontré la conformité au considérant 52 et a l'article 19 DORA.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent une simulation d'incident sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour cartographier vos flux de notification actuels avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 52

Ils nous font confiance

Avant de discuter