Je dois mettre mon organisation luxembourgeoise en conformité au considérant 53 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 53 DORA — Considérant 53

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 53

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(53)

Toutes les entités financières devraient être tenues de notifier des incidents, mais cette obligation ne devrait pas toutes les concerner de la même manière. En effet, les seuils d’importance significative ainsi que les délais de notification devraient être dûment fixés, dans le contexte des actes délégués fondés sur les normes techniques de réglementation qui doivent être élaborées par les AES, de manière à ne rendre compte que des incidents majeurs liés aux TIC. En outre, il convient de tenir compte des spécificités des entités financières lors de la fixation du calendrier des obligations de notification.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la notification des incidents majeurs liés aux TIC sous DORA s'effectue auprès de la CSSF via le portail eDesk, autorité compétente designée par la loi du 1er juin 2023 portant mise en œuvre du règlement DORA. La CSSF a précisé dans sa circulaire applicative que les seuils du règlement délégué 2024/1772 s'appliquent strictement, sans seuil de minimis additionnel pour les petites entités, et que la notification initiale doit parvenir en français, anglais ou allemand.

Pratique Luxgap : préconfigurez votre Incident Severity Engine avec les modèles eDesk CSSF et désignez un binôme RSSI/Compliance Officer formellement responsable de la validation de la qualification dans les 4 heures, traçabilité écrite à l'appui.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 53 éclaire un point critique des articles 17 à 19 du DORA : toutes les entités financières doivent notifier, mais pas avec les mêmes seuils ni les mêmes délais. En pratique, beaucoup d'entités luxembourgeoises (petits PSF de support, gestionnaires AIFM sous seuil, intermédiaires d'assurance) sous-estiment leur obligation en pensant que les seuils RTS ne les concernent pas. La CSSF sanctionné au contraire l'absence de processus de qualification d'incident, indépendamment de la taille : ne pas savoir si un incident est majeur est en soi un manquement à l'article 17.

Ce que ce considérant impose concrètement

Le considérant 53 oriente la lecture des RTS adoptés par les AES (notamment le règlement délégué 2024/1772 sur la classification et les seuils). Il en découle trois obligations opérationnelles :

Calibrer vos propres seuils internes de qualification en miroir des critères RTS : clients affectés, durée d'indisponibilité, perte de données, impact économique, réputation, criticité du service.
Adapter vos délais internes de remontée pour respecter les fenêtrès réglementaires : notification initiale sous 4 heures après classification majeure (et au plus tard 24h après détection), rapport intermédiaire sous 72h, rapport final sous 1 mois.
Documenter la spécificité de votre entité (taille, modèle, services TIC critiques) pour justifier votre calibrage devant la CSSF en cas de contrôle.

Le piège majeur : appliquer mécaniquement les seuils RTS sans les contextualiser à votre profil. Le considérant 53 invite au contraire à une proportionnalité raisonnée et documentée.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Severity Engine transforme la qualification d'incident TIC, exercice subjectif et tardif, en décision automatique horodatée alignée sur les RTS DORA. L'outil branche un agent IA sur vos sources de télémétrie (Microsoft Defender, Sentinel, CrowdStrike, Wazuh, Splunk, ServiceNow ITSM) et vos systèmes métier (core banking, plateforme AIFM, CRM assurance) pour calculer en temps réel le score de matérialité selon les sept critères du règlement délégué 2024/1772, sans intervention humaine au moment critique.

Détecte automatiquement chaque incident TIC remonté par vos EDR, SIEM et outils ITSM et le qualifié sur les sept critères RTS en moins de 60 secondes.
Calcule la fenêtre réglementaire applicable à votre entité (4h, 24h, 72h, 1 mois) et déclenche des alertes Teams ou Slack horodatées vers le RSSI, le DPO et la direction.
Pré-remplit le formulaire eDesk CSSF avec les champs obligatoires extraits de vos systèmes (clients impactés, services affectés, durée d'indisponibilité mesurée).
Documente votre calibrage de seuils spécifique à votre profil d'entité avec justification écrite opposable à la CSSF.
Produit un dossier d'incident scellé cryptographiquement (timestamp eIDAS) regroupant la chaîne complète détection-qualification-notification, opposable lors d'une inspection sur place.
Simule rétroactivement vos 24 derniers mois d'incidents pour identifier ceux qui auraient dû être notifiés mais ne l'ont pas été.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos incidents réels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition de notification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 53

Ils nous font confiance

Avant de discuter