Je dois mettre mon organisation luxembourgeoise en conformité au considérant 8 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueBeaucoup d'entités financières luxembourgeoises pensaient que leur conformité CSSF en matière prudentielle (CRR, Solvency II, AIFMD) couvrait implicitement le risque TIC via la circulaire CSSF 20/750 ou 22/806. Le considérant 8 acte au contraire que la résilience opérationnelle numérique devient un pilier autonome du Single Rulebook, au même niveau que les normes prudentielles. La CSSF étend désormais ses pouvoirs de surveillance au risque TIC avec la même intensité que sur les ratios de fonds propres, et les contrôles sur place de la CSSF intègrent depuis 2025 des inspecteurs spécialisés DORA habilités à exiger preuves techniques et logs en temps réel.Ce que ce considérant change concrètement dans votre dispositifLa gouvernance TIC remonte au conseil d'administration (article 5 DORA), au même titre que la gouvernance financière : un comité TIC purement opérationnel ne suffit plus.Les circulaires CSSF antérieures (20/750, 22/806, 12/552) restent en vigueur mais sont désormais lues à travers le prisme DORA, avec primauté du règlement européen en cas de conflit.La CSSF peut imposer des remédiation orders et sanctions administratives spécifiquement TIC, indépendamment de toute défaillance prudentielle.L'harmonisation européenne signifié qu'une banque luxembourgeoise filiale d'un groupe allemand ou français sera évaluée sur les mêmes critères techniques par BaFin, ACPR ou CSSF, supprimant les arbitrages réglementaires.Les RTS et ITS adoptés par les ESAs (EBA, ESMA, EIOPA) deviennent le standard de fait : ignorer un RTS DORA équivaut à ignorer une norme technique CRR.Comment Luxgap automatise ce risqueNotre Luxgap DORA Supervisory Mirror reproduit en temps réel le tableau de bord qu'un inspecteur CSSF construirait sur votre entité s'il déclenchait un contrôle DORA demain matin. L'outil agrège vos signaux techniques (Microsoft Defender, Azure Sentinel, CrowdStrike, vos journaux SWIFT, Temenos, Avaloq, Olympic) et vos signaux gouvernance (procès-verbaux de conseil, registre des incidents, contrats prestataires TIC) pour produire la vue exacte que la CSSF attend article par article du règlement.Cartographie automatiquement votre périmètre DORA à partir de votre agrément CSSF et identifié les obligations applicables selon votre catégorie (établissement de crédit, PSF, fonds d'investissement, EMI).Calcule en continu un score de maturité DORA aligné sur les cinq piliers du règlement (gouvernance, gestion des risques TIC, incidents, tests, tiers) avec la même grille que les inspecteurs CSSF.Détecte les écarts entre vos circulaires CSSF historiques (20/750, 22/806) et les exigences DORA renforcées, et propose les actions de mise à niveau prioritaires.Produit le dossier d'inspection prêt à remettre : extraits de logs, preuves de tests TLPT, registre des prestataires tiers TIC critiques, rapports d'incidents majeurs au format ESAs.Alerte le RSSI et le DPO par Teams dès qu'un nouvel ITS ou RTS publié au JOUE impacte votre dispositif, avec an...

Considérant 8 DORA — Considérant 8

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 8

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(8)

Le secteur financier de l’Union est soumis à un corpus réglementaire unique et régi par un système européen de surveillance financière. Néanmoins, les dispositions relatives à la résilience opérationnelle numérique et à la sécurité des TIC ne sont pas encore totalement ou systématiquement harmonisées, alors que la résilience opérationnelle numérique est indispensable pour garantir la stabilité financière et l’intégrité du marché à l’ère numérique, et qu’elle n’est pas moins importante que, par exemple, des normes prudentielles ou de conduite communes. Le corpus réglementaire unique et le système de surveillance devraient donc être développés pour couvrir également la résilience opérationnelle numérique, et les mandats des autorités compétentes devraient ainsi être renforcés pour leur permettre de superviser la gestion du risque lié aux TIC dans le secteur financier afin de protéger l’intégrité et l’efficacité du marché intérieur et de faciliter son bon fonctionnement.

Spécificité Luxembourg

loi luxembourgeoise du 1er août 2024 portant mise en oeuvre du règlement (UE) 2022/2554 (DORA)

Au Luxembourg, la CSSF est l'autorité compétente désignée pour DORA pour les établissements de crédit, PSF, EMI, OPCVM, AIFM et entreprises d'investissement, tandis que le CAA (Commissariat aux Assurances) supervise les entreprises d'assurance, de réassurance et les intermédiaires. La loi du 1er août 2024 portant mise en œuvre du règlement DORA désigne ces autorités, articule DORA avec les circulaires CSSF 20/750 et 22/806 préexistantes, et confirme que la circulaire CSSF 24/847 sur les incidents TIC devient la voie unique de notification.

Pratique Luxgap : pour toute entité dual-régulée CSSF et CAA (ex : bancassurance), nous cartographions les deux régimes de reporting en parallèle pour éviter la double notification et exploiter les passerelles prévues par la loi du 1er août 2024.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'entités financières luxembourgeoises pensaient que leur conformité CSSF en matière prudentielle (CRR, Solvency II, AIFMD) couvrait implicitement le risque TIC via la circulaire CSSF 20/750 ou 22/806. Le considérant 8 acte au contraire que la résilience opérationnelle numérique devient un pilier autonome du Single Rulebook, au même niveau que les normes prudentielles. La CSSF étend désormais ses pouvoirs de surveillance au risque TIC avec la même intensité que sur les ratios de fonds propres, et les contrôles sur place de la CSSF intègrent depuis 2025 des inspecteurs spécialisés DORA habilités à exiger preuves techniques et logs en temps réel.

Ce que ce considérant change concrètement dans votre dispositif

La gouvernance TIC remonte au conseil d'administration (article 5 DORA), au même titre que la gouvernance financière : un comité TIC purement opérationnel ne suffit plus.
Les circulaires CSSF antérieures (20/750, 22/806, 12/552) restent en vigueur mais sont désormais lues à travers le prisme DORA, avec primauté du règlement européen en cas de conflit.
La CSSF peut imposer des remédiation orders et sanctions administratives spécifiquement TIC, indépendamment de toute défaillance prudentielle.
L'harmonisation européenne signifié qu'une banque luxembourgeoise filiale d'un groupe allemand ou français sera évaluée sur les mêmes critères techniques par BaFin, ACPR ou CSSF, supprimant les arbitrages réglementaires.
Les RTS et ITS adoptés par les ESAs (EBA, ESMA, EIOPA) deviennent le standard de fait : ignorer un RTS DORA équivaut à ignorer une norme technique CRR.

Comment Luxgap automatise ce risque

Notre Luxgap DORA Supervisory Mirror reproduit en temps réel le tableau de bord qu'un inspecteur CSSF construirait sur votre entité s'il déclenchait un contrôle DORA demain matin. L'outil agrège vos signaux techniques (Microsoft Defender, Azure Sentinel, CrowdStrike, vos journaux SWIFT, Temenos, Avaloq, Olympic) et vos signaux gouvernance (procès-verbaux de conseil, registre des incidents, contrats prestataires TIC) pour produire la vue exacte que la CSSF attend article par article du règlement.

Cartographie automatiquement votre périmètre DORA à partir de votre agrément CSSF et identifié les obligations applicables selon votre catégorie (établissement de crédit, PSF, fonds d'investissement, EMI).
Calcule en continu un score de maturité DORA aligné sur les cinq piliers du règlement (gouvernance, gestion des risques TIC, incidents, tests, tiers) avec la même grille que les inspecteurs CSSF.
Détecte les écarts entre vos circulaires CSSF historiques (20/750, 22/806) et les exigences DORA renforcées, et propose les actions de mise à niveau prioritaires.
Produit le dossier d'inspection prêt à remettre : extraits de logs, preuves de tests TLPT, registre des prestataires tiers TIC critiques, rapports d'incidents majeurs au format ESAs.
Alerte le RSSI et le DPO par Teams dès qu'un nouvel ITS ou RTS publié au JOUE impacte votre dispositif, avec analyse de gap automatique sous 48h.
Génère un rapport PDF horodaté et cryptographiquement scellé, opposable lors d'un contrôle sur place de la CSSF.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre régulé. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre périmètre réel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition DORA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 8

Ils nous font confiance

Avant de discuter