DORA : les entités financières luxembourgeoises face aux nouvelles exigences de résilience numérique

Le Digital Operational Resilience Act (DORA) est l'un des textes réglementaires les plus structurants de ces dernières années pour le secteur financier européen. Entré en application le 17 janvier 2025, il impose de nouvelles obligations strictes en matière de gestion du risque informatique et de résilience opérationnelle.

Qui est concerné au Luxembourg ? Toutes les entités financières sous supervision CSSF ou BCL : banques, gestionnaires de fonds, UCITS et AIFM, assureurs, établissements de paiement, PSF (Professionnels du Secteur Financier), et prestataires de services sur crypto-actifs (au titre de MiCA).

Les 5 piliers de DORA DORA repose sur cinq piliers : (1) la gestion du risque TIC (Technologies de l'Information et de la Communication), (2) la gestion et la notification des incidents, (3) les tests de résilience opérationnelle numérique, (4) la gestion du risque lié aux tiers prestataires TIC, et (5) le partage d'informations sur les cybermenaces.

Les défis pratiques que nous observons Le quatrième pilier - la gestion du risque tiers - est celui qui soulève le plus de difficultés pratiques. Il impose d'évaluer et de contractualiser les relations avec tous les prestataires TIC critiques, y compris les fournisseurs de cloud. Pour des entités qui externalisent massivement (core banking, administration de fonds), les chantiers contractuels sont considérables.

Notre accompagnement Ecap Luxembourg assiste ses clients dans l'analyse de conformité DORA, la révision des contrats avec les prestataires TIC, la rédaction des politiques de gestion du risque informatique, et la préparation à d'éventuels contrôles CSSF. Nous travaillons en coordination avec les équipes IT et les DSI pour que la mise en conformité soit opérationnelle, pas seulement documentaire.