Je dois mettre mon organisation luxembourgeoise en conformité au considérant 55 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 55 DORA — Considérant 55

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 55

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(55)

Les AES devraient être chargées d’examiner la faisabilité et les conditions de la possibilité de centraliser les rapports sur les incidents liés aux TIC au niveau de l’Union. Cette centralisation pourrait consister en une plateforme unique de l’Union en matière de notification des incidents majeurs liés aux TIC, qui soit recevrait directement les rapports pertinents et en informerait automatiquement les autorités nationales compétentes, soit se contenterait de centraliser les rapports pertinents que lui transmettraient les autorités nationales compétentes et assumerait donc un rôle de coordination. Les AES devraient être chargées d’élaborer, en consultation avec la BCE et l’ENISA, un rapport conjoint évaluant la faisabilité de la création d’une plateforme unique de l’Union.

Spécificité Luxembourg

loi du 1er juillet 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et Circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité competente DORA et a deja précisé ses attentes via la Circulaire CSSF 24/847 du 5 juin 2024 relative au cadre de notification des incidents TIC pour le secteur financier, qui transpose operationnellement les obligations DORA. Cette circulaire definit les modalites de soumission via le portail eDesk de la CSSF, en attendant la décision européenne sur le hub UE evoque par ce considérant. La loi du 1er juillet 2024 portant mise en œuvre du règlement DORA désigné la CSSF et le Commissariat aux assurances (CAA) comme autorités competentes selon la nature de l'entité.

Pratique Luxgap : configurez votre orchestrateur de notification avec eDesk CSSF comme destinataire primaire actuel et un connecteur pivot vers le futur hub UE, pour eviter une refonte complète lors de la bascule.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant annonce une évolution majeure : la centralisation européenne du reporting d'incidents TIC. En pratique, beaucoup d'entités financieres luxembourgeoises sous-estiment que leur architecture de notification actuelle (CSSF Circulaire 24/847, formulaire incident opérationnel, notification BCE SSM, alerte CNPD si données personnelles) devra evoluer vers un hub unique UE. Les entités qui construisent aujourd'hui un workflow rigide, couple a un seul destinataire CSSF, devront tout refondre quand le hub sera opérationnel, avec un risque de double déclaration incoherente entre la CSSF et le hub européen pendant la phase de transition.

Ce que ce considérant change pour votre architecture de reporting

Votre processus de notification doit être destinataire-agnostique : capable de pousser vers CSSF aujourd'hui, vers le hub UE demain, sans refonte.
Le format pivot doit suivre les RTS DORA sur la classification et le reporting d'incidents (Règlement délégué 2024/1772) pour être directement compatible avec une remontee européenne automatisée.
La coherence entre canaux est critique : un incident majeur qui déclenche aussi une notification CNPD (art. 33 RGPD) et une notification CSSF doit porter le même identifiant, les mêmes horodatages, les mêmes faits qualifiés.
Pendant la phase transitoire, le risque est la contradiction déclarative entre ce que vous declarez a la CSSF en J+24h et ce qui remonte au futur hub en J+72h.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Reporting Orchestrator transforme votre obligation de notification multicanal en un flux unique, destinataire-agnostique, deja aligne sur les RTS DORA et pret pour le futur hub UE. L'outil branche un agent LLM spécialisé sur vos SIEM (Sentinel, Splunk, Wazuh), vos tickets ServiceNow et vos échanges Teams pour qualifier automatiquement chaque incident selon la grille DORA (impact clients, perte de données, durée, criticite des services touches) et generer la déclaration au bon format, au bon moment, vers la bonne autorité.

Qualifié automatiquement chaque incident TIC selon les sept critères du Règlement délégué 2024/1772 et produit la décision motivee de notifier ou non, signee electroniquement.
Genere les trois rapports DORA (initial 24h, intermédiaire 72h, final 1 mois) preremplis à partir des données techniques deja presentes dans Sentinel, Defender ou CrowdStrike.
Synchronise un identifiant pivot unique entre la notification CSSF (Circulaire 24/847), la notification CNPD article 33 RGPD si applicable, et la future remontee au hub UE.
Detecte les contradictions entre canaux (timeline divergente, périmètre client incoherent) avant envoi et bloque la soumission tant que la coherence n'est pas validee.
Produit un dossier d'incident horodate scelle cryptographiquement, opposable lors d'un contrôle CSSF sur place ou d'une demande de pièces de l'AED désignée.
Bascule automatiquement vers le hub UE des sa mise en production, sans refonte de votre workflow interne.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes preparent un audit blanc gratuit sous 48h, qui simule un incident TIC majeur sur votre périmètre reel et mesure votre délai actuel de qualification et de notification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 55

Ils nous font confiance

Avant de discuter