DORA : Entrée en application au 17 janvier 2025 - Ce que doivent savoir les entités financières

Points clés de l'entrée en application de DORA

Le règlement DORA (Digital Operational Resilience Act) entre officiellement en application le 17 janvier 2025. La CSSF rappelle que les exigences de DORA et ses normes techniques réglementaires prennent désormais le pas sur les éléments qui se chevauchent dans les circulaires CSSF existantes, notamment :

- La circulaire 20/750 sur la gestion des risques ICT

- La circulaire 22/806 sur l'externalisation

- La circulaire 24/847 sur le reporting des incidents ICT

Nouvelles obligations de reporting

Les entités financières doivent mettre en place deux éléments essentiels :

1. Obtenir un code LEI pour pouvoir soumettre les reportings requis

2. Créer le rôle spécifique de 'notificateur d'incident IT' dans eDesk

À partir du 17 janvier 2025, deux nouveaux formulaires de notification seront disponibles sur eDesk :

- Pour les incidents ICT majeurs

- Pour les cybermenaces significatives

Registre d'information et délais clés

Les entités devront soumettre leur registre d'information entre le 1er et le 15 avril 2025, avec comme date de référence le 31 mars 2025. Des contrôles de validation seront effectués :

- Par la CSSF entre le 15 et le 30 avril 2025

- Par les ESA en mai 2025

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Mettre à jour vos procédures internes pour refléter la primauté de DORA sur les circulaires CSSF existantes

2. Vérifier que vous disposez bien d'un code LEI actif et créer le rôle de notificateur d'incident IT dans eDesk

3. Préparer vos équipes aux nouvelles obligations de reporting avec les nouveaux formulaires

4. Anticiper la préparation du registre d'information au format CSV pour la première échéance d'avril 2025