← Tous les articles

consultant

CSSF 25/880 — la campagne PSP ICT Assessment 2026 exige un VM continu

La CSSF a lancé la campagne « PSD2 – PSP ICT Assessment » 2026: chaque PSP doit soumettre une évaluation TIC à jour via eDesk. Un vulnerability management continu répond NIS 2 art. 21 et DORA art. 25–27.

Par Cyber Luxgap 12/06/2026

Excerpt — Le 9 février 2026, la CSSF a ouvert la campagne « PSD2 – PSP ICT Assessment »: chaque PSP doit soumettre une évaluation TIC à jour via eDesk (circulaire 25/880). Voici comment un vulnerability management continu répond à NIS 2 art. 21 et à DORA art. 25–27, et vous met en règle rapidement.

Les faits

Le 9 février 2026, la CSSF a annoncé l’ouverture de la campagne « PSD2 – PSP ICT Assessment » relative à l’exercice 2025 : les prestataires de services de paiement (PSP) doivent déposer une évaluation des risques TIC exhaustive et actualisée via le portail eDesk (webform ou API S3), en application de la circulaire CSSF 25/880. La CSSF avait précisé en 2025 que cette exigence nationale (ex‑25/750) est désormais intégrée dans la 25/880, aux côtés de la gestion de la relation utilisateur de services de paiement. Autrement dit : même sous DORA, les PSP restent tenus de produire, chaque année, une vue probante et opérationnelle de leurs risques TIC, dont la gestion des vulnérabilités est un pilier incontournable. (CSSF, 09/02/2026) (Circulaire CSSF 25/880).

Le cadre légal qui s’applique

  • Circulaire CSSF 25/880 — impose, pour les PSP, un reporting annuel « PSP ICT Assessment » avec une évaluation des risques TIC « actualisée et exhaustive », à soumettre via eDesk. La campagne 2026 en est l’exécution pratique. (CSSF 25/880, texte) (Annonce campagne 2026).
  • NIS 2 — article 21 — exige des mesures de gestion des risques cyber « en tenant compte de l’état de l’art », incluant, entre autres, la gestion des vulnérabilités, la journalisation, la gestion des accès et la continuité. Les organes de gestion doivent approuver ces mesures et en superviser la mise en œuvre. Voir notre synthèse directive NIS 2. (EUR‑Lex, dir. 2022/2555, art. 21).
  • DORA (UE 2022/2554) — articles 24–27 — structurent le programme de tests de résilience : tests réguliers des outils et systèmes TIC (art. 25), et, pour les entités désignées, TLPT (Threat‑Led Penetration Testing) basé sur TIBER‑EU (art. 26–27). Ces tests s’appuient sur un socle de gestion des vulnérabilités fiable. Une présentation détaillée est disponible dans notre page DORA. (EUR‑Lex, DORA) (DNB, TLPT/TIBER‑EU).
  • ISO/IEC 27001:2022 — Annexe A 8.8 — formalise la gestion des vulnérabilités techniques comme contrôle technologique obligatoire dans un ISMS. (Réf. Annexe A 8.8).

La solution technique à déployer

Vulnerability management continu (VM) = détecter, prioriser, corriger et vérifier, en boucle courte. Concrètement :

  • Découverte et couverture — recensement automatique de l’attaque‑surface (on‑prem, cloud, endpoints, conteneurs), y compris dépendances logicielles et services exposés. Alimente vos registres DORA/NIS 2 (actifs, dépendances, fonctions critiques).
  • Scans orchestrés + agents — scans réseau authentifiés/non authentifiés, agents sur serveurs/VM/containers, SCA (Software Composition Analysis) et SBOM pour les composants tiers.
  • Priorisation par le risque — corrélation CVE/CVSS, exploitabilité (EPSS), exposition internet, criticité métier et présence de mitigations. On traite d’abord ce qui est exploité et exposé.
  • Remédiation et patching — intégration ITSM/CMDB pour ouvrir des tickets, lier au changement, piloter des SLAs (ex. 7/30/90 jours par sévérité), et déclencher des correctifs automatisés là où possible.
  • Vérification et preuves — rescans ciblés, drift control et rapports auditors‑ready : tableaux de bord tendance, délais moyens de correction, couverture des actifs critiques. Ces éléments documentent le « PSP ICT Assessment » et alimentent votre dossier DORA/NIS 2.

Référentiels utiles : ISO 27001 A.8.8 (vulnérabilités), NIST CSF 2.0 (ID‑AM, PR‑IP, DE‑VM), CIS Controls 7/16/18 (gestion continue des vulnérabilités, inventaire des actifs, sécurité des applications).

Comment Luxgap déploie cela

  • Notre SOC managed 24/7 — nous corrélons les findings VM avec les détections EDR/XDR et la télémétrie réseau : quand une vulnérabilité critique est observée et exploitée, l’alerte est haussée et un plan de confinement est émis. Nous traçons les actions pour vos rapports CSSF/DORA. En savoir plus sur notre SOC managé.
  • Notre gouvernance ISO 27001 — nos Lead Implementers/Lead Auditors cadrent le processus A.8.8 : périmètre, rôles, critères de priorisation, SLAs, intégration ITSM/CI/CD, et la production des évidences attendues (indispensable pour la circulaire 25/880 et les contrôles NIS 2 art. 21).
  • Nos consultants DPO et CISO externalisés — alignent VM, gestion des changements et clauses fournisseurs (DORA art. 28–30) ; ils préparent les tableaux de bord pour l’organe de gestion (responsable sous NIS 2 et DORA) et valident la soumission eDesk. Découvrez notre offre de CISO externalisé et notre page DORA.

Cas concret au Luxembourg ou en UE

Une institution de paiement de taille moyenne, établie au Luxembourg, devait produire son « PSP ICT Assessment » 2026. En six semaines, Luxgap a :

  1. Déployé une cartographie attaque‑surface (on‑prem + cloud), agents VM et scans authentifiés.
  2. Mis en place une priorisation par risque (EPSS + exposition internet + criticité service) et des SLAs de remédiation 7/30/90 jours reliés à l’ITSM.
  3. Automatisé la preuve : rapports mensuels d’avancement, temps moyen de correction, couverture des actifs « critiques ou importants » (DORA), et un export structuré pour eDesk.

Résultat : un dossier complet pour la CSSF (25/880), un tableau de bord validé par le COMEX (NIS 2 art. 21), et une base solide pour planifier les tests DORA (art. 25–27), y compris un dry‑run TLPT ciblé sur une fonction critique.

Premiers pas concrets

  • 1. Figer la portée et l’inventaire — listez les actifs TIC (on‑prem, cloud, SaaS), les « fonctions critiques ou importantes » (DORA) et les applications exposées. Sans inventaire fiable, pas de VM efficace.
  • 2. Démarrer les scans et agents — lancez des scans authentifiés hebdomadaires et déployez des agents sur serveurs/VM/container. Ajoutez l’analyse SBOM pour vos applications clés.
  • 3. Poser des SLAs de remédiation — par sévérité/exploitabilité (ex. EPSS > 0,7), avec des délais réalistes et mesurables. Branchez l’ITSM pour tracer les changements.
  • 4. Industrialiser la preuve — préparez un rapport « PSP ICT Assessment » avec : méthodologie, couverture, backlog priorisé, délais de correction, justification des exceptions, et validation par l’organe de gestion.
  • 5. Anticiper DORA 24–27 — planifiez un cycle de tests : revues de code ciblées, pentests annuels, et, si vous êtes désignés, un TLPT TIBER‑EU. Documentez le lien entre findings VM et scénarios de test. (DNB).

Sources officielles

cybersecurite solution dora nis-2 vulnerability-management cssf
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →