Je dois mettre mon organisation luxembourgeoise en conformité au considérant 99 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 99 DORA — Considérant 99

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 99

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(99)

Des normes techniques de réglementation devraient garantir l’harmonisation cohérente des exigences prévues par le présent règlement. Dans leur rôle en tant qu’organismes dotés de compétences très spécialisées, les AES devraient élaborer des projets de normes techniques de réglementation n’impliquant pas de choix politiques, en vue de les soumettre à la Commission. Des normes techniques de réglementation devraient être élaborées dans les domaines de la gestion du risque lié aux TIC, de la notification d’incidents majeurs liés aux TIC, des tests, ainsi qu’en ce qui concerne les exigences clés pour garantir un suivi solide du risque lié aux prestataires tiers de services TIC. La Commission et les AES devraient veiller à ce que toutes les entités financières puissent appliquer ces normes et exigences d’une manière proportionnée à leur taille et à leur profil de risque global, ainsi qu’à la nature, à l’ampleur et à la complexité de leurs services, activités et opérations. La Commission devrait être habilitée à adopter ces normes techniques de réglementation par voie d’actes délégués en vertu de l’article 290 du traité sur le fonctionnement de l’Union européenne et conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Spécificité Luxembourg

CSSF Circular 24/847 on ICT incident reporting and Circulars 22/806 / 17/656 on outsourcing

Au Luxembourg, la CSSF est l'autorité competente pour superviser l'application de DORA et de ses RTS sur les établissements de crédit, PSF, entreprises d'investissement, OPCVM, AIFM et établissements de paiement, tandis que le CAA supervise les entreprises d'assurance et de reassurance. La CSSF a publie sa circulaire 24/847 sur la notification des incidents TIC qui s'articule directement avec le RTS de classification adopte au titre du considérant 99, et a transpose son cadre de outsourcing (circulaires 22/806 et 17/656) pour s'aligner sur les RTS DORA sur la sous-traitance critique.

Pratique Luxgap : nous maintenons une matrice de correspondance vivante entre les circulaires CSSF/CAA et les RTS DORA publies, intégrée au Standards Radar, pour eviter le double reporting et identifier les exigences nationales additionnelles aux RTS UE.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 99 annonce une cascade de Regulatory Technical Standards (RTS) adoptees par la Commission sur proposition des AES (EBA, EIOPA, ESMA). En pratique, la CSSF contrôle non pas le texte brut de DORA mais l'empilement RTS + ITS + orientations conjointes des AES. Les entités financieres luxembourgeoises qui ne suivent que le règlement de base passent à côté de 80% des obligations techniques opérationnelles (matrice de classification d'incidents, registre des accords TIC, scénarios TLPT, politique de sortie cloud).

Le piège du principe de proportionnalite

Le considérant 99 impose explicitement que les RTS s'appliquent de manière proportionnée a la taille et au profil de risque. C'est une clé d'argumentation devant la CSSF, mais elle se merite : il faut documenter pourquoi telle exigence est calibree plus legerement, en s'appuyant sur des metriques objectives.

Cartographier les RTS publies (JC 2023/83, JC 2023/86, régulation déléguée 2024/1772 sur la classification d'incidents, RTS sur le registre d'information, RTS sur la sous-traitance critique).
Tracer pour chaque exigence le niveau d'application retenu et la justification de proportionnalite.
Surveiller en continu les mises à jour des AES sur ESMA, EBA et EIOPA, ainsi que les Q&A publies régulièrement.
Adapter le dispositif des qu'un nouveau RTS entre en application (typiquement T+20 jours après publication JOUE).

Comment Luxgap automatise ce risque

Notre Luxgap DORA Standards Radar transforme la veille réglementaire DORA en flux opérationnel directement injecte dans votre dispositif de conformité. L'outil monitore en temps reel les publications des trois AES, du JOUE et de la CSSF, et un agent LLM spécialisé lit chaque RTS/ITS publie pour en extraire automatiquement les exigences techniques applicables a votre entité, en croisant votre profil (taille, segment, régulateur de tutelle) pour calibrer la proportionnalite.

Surveille en continu les pages EBA, EIOPA, ESMA, CSSF et JOUE via API et detecte toute nouvelle publication DORA en moins de 4 heures.
Classifie chaque RTS, ITS ou orientation conjointe selon son impact sur votre dispositif (gestion du risque TIC, notification d'incidents, TLPT, registre des accords).
Genere un differentiel automatique entre vos politiques internes (PSSI, plan de continuite, procédure de notification CSSF) et les nouvelles exigences techniques publiees.
Calcule un score de proportionnalite documente pour chaque exigence, opposable a la CSSF lors d'une revue prudentielle.
Produit un plan de remédiation horodate avec les actions concretes, les délais réglementaires et les responsables internes assignes.
Alerte les équipes conformité et CISO via Teams ou email des qu'un RTS entre en application avec moins de 30 jours de preavis.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration sur vos données reelles et nos équipes realisent un audit blanc gratuit sous 48h pour cartographier votre exposition aux RTS DORA deja publies avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 99

Ils nous font confiance

Avant de discuter