Je dois mettre mon organisation luxembourgeoise en conformité au considérant 7 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant rappelle l'origine de DORA : un avis technique conjoint des trois AES (ABE, AEAPP, AEMF) demandant une approche coherente et proportionnée du risque TIC. En pratique, la CSSF s'appuie sur cette intention pour refuser les approches a la carte : une banque privée ne peut pas inventer son propre référentiel maison en ignorant les normes techniques de réglementation (RTS) publiees par les AES. Le piège classique consiste a traiter DORA comme un projet IT isole, deconnecte des orientations EBA/EIOPA/ESMA deja en vigueur (orientations EBA sur l'externalisation, orientations EBA sur la gestion du risque TIC et de la sécurité), alors que DORA les consolide et les rend contraignantes.La proportionnalite : une arme a double tranchantLe considérant 7 insiste sur le caractère proportionné du renforcement. Cette proportionnalite (reprise a l'article 4 de DORA) est souvent mal interpretee :Elle ne dispense aucune entité financiere des obligations de base (gouvernance TIC, registre des prestataires tiers, gestion des incidents majeurs, tests de résilience).Elle module l'intensite des contrôles selon la taille, le profil de risque, la nature et la complexité des services, mais pas leur existence.Les microentreprises beneficient d'un regime allege explicite (article 16), mais une fintech de 20 personnes régulée CSSF reste pleinement soumise au socle.La CSSF attend une justification documentee de chaque arbitrage de proportionnalite : sans dossier ecrit, l'argument tombe en contrôle.L'articulation avec les orientations sectorielles preexistantesAvant de relire vos politiques DORA, cartographiez ce que vous appliquez deja : orientations EBA/GL/2019/02 sur l'externalisation, EBA/GL/2019/04 sur la gestion du risque TIC, circulaire CSSF 22/806 sur les arrangements d'externalisation, circulaire CSSF 20/750 sur le risque TIC et de sécurité. DORA absorbe et durcit ces textes : un mapping de votre conformité actuelle vers les articles de DORA evite de refaire deux fois le même travail.Comment Luxgap automatise ce risqueNotre Luxgap DORA Proportionality Engine transforme la proportionnalite déclarative en argumentaire opposable a la CSSF. L'outil ingere votre bilan, votre RAS (risk appetite statement), votre cartographie SI et vos contrats d'externalisation depuis vos systèmes connectes (Sage BOB 50, M365, Active Directory, registres internes), puis calcule pour chaque exigence DORA le niveau d'application attendu avec son raisonnement juridique, en croisant DORA, les RTS publiees par les AES et les circulaires CSSF.Classe automatiquement votre entité (microentreprise, petite entité non interconnectee, entité standard, entité significative) selon les critères de l'article 16 et des RTS, avec recalcul mensuel des qu'un indicateur change.Mappe chaque politique TIC existante (circulaire CSSF 20/750, EBA/GL/2019/04, ISO 27001) vers l'article DORA correspondant et detecte les ecarts a combler.Genere une note de proportionnalite par exigence, ...

Considérant 7 DORA — Considérant 7

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 7

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(7)

En avril 2019, l’Autorité européenne de surveillance (Autorité bancaire européenne ou ABE) instituée par le règlement (UE) no 1093/2010 du Parlement européen et du Conseil (4), l’Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles ou AEAPP) instituée par le règlement (UE) no 1094/2010 du Parlement européen et du Conseil (5) et l’Autorité européenne de surveillance (Autorité européenne des marchés financiers ou AEMF) instituée par le règlement (UE) no 1095/2010 du Parlement européen et du Conseil (6) (regroupées conjointement sous le nom «autorités européennes de surveillance» ou AES) ont publié des avis techniques conjoints préconisant une approche cohérente du risque lié aux TIC dans le secteur financier et recommandant de renforcer, de manière proportionnée, la résilience opérationnelle numérique de ce secteur dans le cadre d’une initiative sectorielle de l’Union.

Spécificité Luxembourg

circulaires CSSF 22/806 et 24/847

Au Luxembourg, la CSSF a publie la circulaire CSSF 24/847 sur la notification des incidents TIC et la circulaire CSSF 22/806 sur les arrangements d'externalisation, qui constituent le socle de lecture nationale de DORA. La CSSF attend que la proportionnalite evoquee au considérant 7 soit articulee avec ces circulaires : un PSF de support ne peut pas invoquer DORA pour s'exonerer des exigences plus spécifiques de la 22/806 sur l'externalisation cloud.

Pratique Luxgap : remettez a votre relationship manager CSSF une note de mapping unique qui croise DORA, la circulaire 22/806 et la circulaire 20/750, pour eviter les demandes redondantes lors des entretiens prudentiels annuels.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant rappelle l'origine de DORA : un avis technique conjoint des trois AES (ABE, AEAPP, AEMF) demandant une approche coherente et proportionnée du risque TIC. En pratique, la CSSF s'appuie sur cette intention pour refuser les approches a la carte : une banque privée ne peut pas inventer son propre référentiel maison en ignorant les normes techniques de réglementation (RTS) publiees par les AES. Le piège classique consiste a traiter DORA comme un projet IT isole, deconnecte des orientations EBA/EIOPA/ESMA deja en vigueur (orientations EBA sur l'externalisation, orientations EBA sur la gestion du risque TIC et de la sécurité), alors que DORA les consolide et les rend contraignantes.

La proportionnalite : une arme a double tranchant

Le considérant 7 insiste sur le caractère proportionné du renforcement. Cette proportionnalite (reprise a l'article 4 de DORA) est souvent mal interpretee :

Elle ne dispense aucune entité financiere des obligations de base (gouvernance TIC, registre des prestataires tiers, gestion des incidents majeurs, tests de résilience).
Elle module l'intensite des contrôles selon la taille, le profil de risque, la nature et la complexité des services, mais pas leur existence.
Les microentreprises beneficient d'un regime allege explicite (article 16), mais une fintech de 20 personnes régulée CSSF reste pleinement soumise au socle.
La CSSF attend une justification documentee de chaque arbitrage de proportionnalite : sans dossier ecrit, l'argument tombe en contrôle.

L'articulation avec les orientations sectorielles preexistantes

Avant de relire vos politiques DORA, cartographiez ce que vous appliquez deja : orientations EBA/GL/2019/02 sur l'externalisation, EBA/GL/2019/04 sur la gestion du risque TIC, circulaire CSSF 22/806 sur les arrangements d'externalisation, circulaire CSSF 20/750 sur le risque TIC et de sécurité. DORA absorbe et durcit ces textes : un mapping de votre conformité actuelle vers les articles de DORA evite de refaire deux fois le même travail.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Proportionality Engine transforme la proportionnalite déclarative en argumentaire opposable a la CSSF. L'outil ingere votre bilan, votre RAS (risk appetite statement), votre cartographie SI et vos contrats d'externalisation depuis vos systèmes connectes (Sage BOB 50, M365, Active Directory, registres internes), puis calcule pour chaque exigence DORA le niveau d'application attendu avec son raisonnement juridique, en croisant DORA, les RTS publiees par les AES et les circulaires CSSF.

Classe automatiquement votre entité (microentreprise, petite entité non interconnectee, entité standard, entité significative) selon les critères de l'article 16 et des RTS, avec recalcul mensuel des qu'un indicateur change.
Mappe chaque politique TIC existante (circulaire CSSF 20/750, EBA/GL/2019/04, ISO 27001) vers l'article DORA correspondant et detecte les ecarts a combler.
Genere une note de proportionnalite par exigence, signee electroniquement, qui justifie chaque arbitrage avec citation des considérants et articles de DORA.
Alerte en temps reel quand un nouveau RTS ou ITS est publie au JOUE et impacte votre dossier de proportionnalite.
Produit un dossier PDF horodate, scelle cryptographiquement, remis a la CSSF lors d'un contrôle sur place pour démontrer la coherence avec l'intention du legislateur européen.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 7

Ils nous font confiance

Avant de discuter