Considérant 53

Considérant 53

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(53)

Toutes les entités financières devraient être tenues de notifier des incidents, mais cette obligation ne devrait pas toutes les concerner de la même manière. En effet, les seuils d’importance significative ainsi que les délais de notification devraient être dûment fixés, dans le contexte des actes délégués fondés sur les normes techniques de réglementation qui doivent être élaborées par les AES, de manière à ne rendre compte que des incidents majeurs liés aux TIC. En outre, il convient de tenir compte des spécificités des entités financières lors de la fixation du calendrier des obligations de notification.

Spécificité Luxembourg
loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la notification des incidents majeurs liés aux TIC sous DORA s'effectue auprès de la CSSF via le portail eDesk, autorité compétente designée par la loi du 1er juin 2023 portant mise en œuvre du règlement DORA. La CSSF a précisé dans sa circulaire applicative que les seuils du règlement délégué 2024/1772 s'appliquent strictement, sans seuil de minimis additionnel pour les petites entités, et que la notification initiale doit parvenir en français, anglais ou allemand.

Pratique Luxgap : préconfigurez votre Incident Severity Engine avec les modèles eDesk CSSF et désignez un binôme RSSI/Compliance Officer formellement responsable de la validation de la qualification dans les 4 heures, traçabilité écrite à l'appui.