Décrypter la conformité, la sécurité et l'IA.
Nos DPO et CISO partagent ici régulièrement leur lecture de l'actualité réglementaire et technique : nouvelles lignes directrices CNPD, sanctions notables, retours d'expérience d'incidents, évolutions AI Act, NIS 2, DORA. Pour aller au-delà du communiqué de presse.
6 articles trouves · #cssf
CSSF: DORA prime et précise l’externalisation TIC (avril 2025)
La CSSF a acté la primauté de DORA dès le 17 janvier 2025 et publie la circulaire 25/882 pour encadrer l’usage de services TIC tiers, le registre d’informations (art. 28) et les notifications via eDesk.
DORA — TLPT encadré par le règlement délégué (UE) 2025/1190
La Commission a précisé le TLPT sous DORA via le règlement délégué (UE) 2025/1190. Au Luxembourg, la CSSF est l’autorité TLPT: le calendrier, le périmètre et la méthode sont désormais clairs.
OVG NRW (20 fév. 2025) : pas d’obligation générale d’E2E
L’OVG Nordrhein‑Westfalen confirme qu’un chiffrement « approprié » au sens de l’art. 32 RGPD peut se limiter à une transport encryption robuste (TLS), selon les risques. Comment s’aligner juridiquement et techniquement.
CSPM cloud: la réponse à la circulaire CSSF 22/806 sur l’externalisation
Pour rester conforme à la CSSF en 2026, il ne suffit plus d’aller dans le cloud. Un CSPM prouve en continu la bonne configuration, la supervision et l’auditabilité exigées.
NIS 2 au Luxembourg: loi du 5 mai 2026 publiée, que faire avant le 10 mai
La loi luxembourgeoise transposant NIS 2 est publiée (5 mai 2026) et entre en vigueur le 10 mai. Périmètre élargi, gouvernance renforcée, notification d’incident sous 24 h/72 h à l’ILR via SERIMA. Actions prioritaires et sources officielles.
DORA, article 28 : le « registre des dépendances ICT » attendu par la CSSF
Depuis le 17 janvier 2025, toutes les entités financières soumises à DORA doivent tenir un registre structuré de leurs contrats ICT. La CSSF a précisé le calendrier et les modalités de soumission au Luxembourg.