Je dois mettre mon organisation luxembourgeoise en conformité au considérant 54 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 54 DORA — Considérant 54

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 54

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(54)

Le présent règlement devrait imposer aux établissements de crédit, aux établissements de paiement, aux prestataires de services d’information sur les comptes et aux établissements de monnaie électronique de signaler tous les incidents opérationnels ou de sécurité liés au paiement qui ont été précédemment signalés au titre de la directive (UE) 2015/2366, que l’incident soit ou non lié aux TIC.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité competente a la fois pour le reporting PSD2 (transposee par la loi modifiee du 10 novembre 2009 relative aux services de paiement) et pour le reporting DORA. La loi du 1er aout 2024 portant mise en œuvre du règlement DORA confirme la CSSF comme guichet unique et impose une coherence opérationnelle entre les deux canaux.

Pratique Luxgap : utilisez le portail CSSF eDesk comme référence unique de soumission et conservez la preuve de depot horodatee des deux notifications dans un coffre-fort numérique opposable.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 54 ferme une porté que beaucoup d'établissements de paiement croyaient encore ouverte : croire qu'un incident de paiement non lié aux TIC (fraude au virement, defaillance d'un processus manuel de validation, erreur humaine au back-office) échappe au reporting DORA. La CSSF sanctionné deja le double standard de reporting entre PSD2 et DORA : un incident signale au titre de la directive (UE) 2015/2366 doit aussi remonter dans le pipeline DORA, même s'il n'a aucune composante TIC. Les établissements de crédit, PI, AISP et EME qui maintiennent deux chaînes de remontee separees et non reconciliees s'exposent a des incohérences que la CSSF detecte immediatement lors des contrôles de coherence trimestriels.

Le piège de la dualité PSD2 / DORA

Un incident de fraude au paiement instantane sans cause TIC reste reportable sous DORA via la passerelle du considérant 54.
Les seuils de materialite PSD2 et DORA ne sont pas alignes : un incident sous le seuil DORA TIC peut être au-dessus du seuil PSD2 paiement, et inversement.
Les délais sont differents : notification initiale PSD2 sous 4h, notification DORA selon la classification de l'incident majeur (RTS classification).
La CSSF attend une vue unifiée : un même incident ne doit jamais apparaître dans un canal et pas dans l'autre.
La traçabilite de la décision "PSD2 only / DORA only / les deux" doit être documentee et opposable.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Dual-Track Router elimine la zone grise PSD2/DORA en classifiant automatiquement chaque incident opérationnel ou de sécurité liée au paiement et en declenchant les deux chaînes de reporting en parallele, avec une seule saisie. L'outil se branche sur vos systèmes de monitoring (Splunk, Microsoft Sentinel, ServiceNow ITSM, votre core banking Temenos ou Sopra, vos plateformes de paiement Worldline ou equensWorldline) et applique un moteur de règles fonde sur les RTS DORA de classification et les orientations EBA/GL/2021/03 sur le reporting PSD2.

Detecte chaque incident de paiement des sa création dans le SI et applique simultanement les deux grilles de qualification PSD2 et DORA, sans intervention manuelle.
Genere automatiquement les deux notifications pre-remplies (formulaire CSSF PSD2 et template DORA majeur) avec horodatage des etapes initiale, intermédiaire et finale.
Alerte en temps reel l'équipe conformité via Teams ou Slack lorsqu'un incident depasse l'un des deux seuils de materialite, avec compte a rebours visible sur les délais réglementaires.
Reconcilie quotidiennement les deux registres pour détecter toute incohérence (incident PSD2 sans contrepartie DORA ou inversement) et produit un journal d'ecarts opposable.
Produit un rapport PDF horodate signe cryptographiquement, opposable a la CSSF lors d'un contrôle, qui démontré la coherence des deux chaînes de reporting sur 24 mois glissants.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos incidents reels des 12 derniers mois, avec un audit blanc gratuit sous 48h pour mesurer les ecarts entre vos chaînes PSD2 et DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 54

Ils nous font confiance

Avant de discuter