CSSF 26/914: supervision AMLA — l’inventaire TIC devient vital
La CSSF 26/914 identifie les entités éligibles à la supervision directe d’AMLA. Gouvernance et traçabilité se durcissent: un inventaire/CMDB fiable et continu devient indispensable pour prouver vos contrôles NIS 2/ISO 27001.
Excerpt — Le 25 juin 2026, la CSSF a publié la circulaire 26/914 identifiant les entités éligibles à la supervision directe d’AMLA. Concrètement: gouvernance et traçabilité se durcissent. La réponse opérationnelle: un inventaire/CMDB fiable et continu pour prouver vos contrôles NIS 2/ISO 27001.
Les faits
Le 25 juin 2026, la CSSF a publié la circulaire 26/914 qui précise l’Identification of obliged entities eligible for direct supervision by AMLA (Autorité européenne de lutte contre le blanchiment). Ce texte, applicable aux banques, établissements de paiement/monnaie électronique, PSF d’appui, prestataires crypto (CASP) et autres acteurs financiers, renforce l’exigence de gouvernance et de visibilité sur les fonctions, services et dépendances TIC critiques — condition sine qua non pour justifier son périmètre, ses expositions et ses contrôles auprès d’un superviseur européen direct. Source officielle: CSSF, Circulaire 26/914, 25/06/2026.
Pourquoi c’est un sujet “systèmes d’information” et pas seulement conformité AML/CFT? Parce que la capacité à prouver qui fait quoi, où, et avec quelles données dépend d’un inventaire technique et métier à jour (actifs, applications, flux, comptes, prestataires). Les signaux récents le confirment: les fuites massives passent souvent par des maillons mal référencés (apps SaaS, intégrations API, environnements cloud). Exemple d’actualité en Europe: la brèche Eurail révélée mi-janvier 2026, où des données sensibles (jusqu’aux pièces d’identité) ont été exposées; au-delà de l’impact RGPD, le cas illustre le risque structurel créé par des systèmes et intégrations insuffisamment cartographiés. Voir The Register, 14/01/2026 et la propre communication d’Eurail 10/01/2026.
Le cadre legal qui s’applique
- CSSF 26/914 (25/06/2026) — Identification des entités éligibles à la supervision directe par AMLA. Implicite mais clair: disposer d’une traçabilité robuste des fonctions critiques et des dépendances, y compris TIC, pour documenter expositions et contrôles. Source: CSSF.
- NIS 2, art. 21(2)(d) — Mesures de gestion des risques exigeant notamment la sécurité des chaînes d’approvisionnement et des relations avec les fournisseurs. Sans inventaire fiable et à jour (actifs, logiciels, services cloud/SaaS, tiers), impossible de démontrer la maîtrise attendue par l’autorité (ILR côté LU) et par les superviseurs financiers. Texte UE: EUR‑Lex (Directive (UE) 2022/2555). Pour un cadrage opérationnel, voir notre page directive NIS 2 et entités essentielles.
- ISO/IEC 27001:2022 — Annexe A.5.9 « Inventaire des actifs » et A.5.14/8.16 sur la gestion des fournisseurs et des changements: exiger un référentiel d’actifs, leur propriétaire, criticité, localisation et flux associés. Norme de référence pour prouver un système de management (ISMS) opérationnel; voir aussi ISO 27001 au Luxembourg.
Message aux directions: la combinaison AMLA/NIS 2 fait passer l’Asset Inventory/CMDB du “bon à avoir” au “pré‑requis de conformité” démontrable. Sans cette preuve, la supervision directe et les audits connexes deviendront périlleux.
La solution technique à déployer
Inventaire d’actifs et CMDB automatisée — L’objectif est de maintenir un “jumeau” de votre SI et de votre chaîne de fournisseurs:
- Couverture: endpoints (poste/serveur), mobiles, conteneurs, VMs, réseaux, bases, applications on‑prem et SaaS (via connecteurs API), comptes à privilèges, secrets/jetons, ressources cloud (IaaS/PaaS/SaaS), prestataires et sous‑traitants.
- Collecte continue: agents EDR/MDM, scans réseau, connecteurs cloud (AWS/Azure/GCP), intégrations ITSM/IDP (Entra/AD/Okta), découverte d’APIs et d’intégrations SaaS (CASB/SSPM/CSPM), enrichissement via vuln scanners.
- Normalisation: dictionnaire de données, schéma CMDB, déduplication, rattachement propriétaire/criticité/données traitées (catégories RGPD, secret bancaire, etc.), liens de dépendance (appli → base → cloud region → fournisseur).
- Contrôles: vues de conformité NIS 2 art. 21(2)(d), registres DORA/NIS 2, suivi de l’attack surface, shadow IT découvert automatiquement, cartographie des flux transfrontières (utile RGPD art. 44–49), score d’expositions par tiers.
- Intégration sécurité: alimentation du SIEM/XDR, déclenchement SOAR quand un nouvel actif critique apparaît sans sauvegarde, sans MFA, ou hébergé hors zones autorisées. Pour l’opérationnel, notre SOC managé et détection des incidents relie ces capteurs à vos processus.
Standards d’alignement — ISO 27001 Annexe A.5.9/A.5.14/A.8.1, NIST CSF v2 (ID.AM, ID.RA‑SCRM), CIS Controls v8 (C1 Inventaire matériel, C2 Inventaire logiciel, C15 SCRM).
Comment Luxgap déploie cela
- Notre gouvernance ISO 27001 — Nous cadrons la politique d’inventaire (propriété, périodicité, criticité), le modèle CMDB et les métriques de conformité (NIS 2 art. 21(2)(d), registres AMLA/DORA si applicable). Ateliers avec DSI/DPO/CISO pour lier actifs ↔ données ↔ risques; appui possible via CISO externalisé et pilotage cyber.
- Notre SOC managed — Nous branchons la CMDB au SIEM/XDR. Règles d’alerte “conformité opérationnelle”: nouvel actif critique non inventorié, service SaaS sans DPA/clauses, base sensible sans chiffrement, tiers non évalué: alerte + ticket automatique.
- Nos consultants DPO et CISO externalisés — Nous préparons les dossiers de preuve: périmètre, cartographie des dépendances, registres de tiers et flux, reporting tableau de bord pour la direction et pour l’autorité (CSSF/ILR/CNPD).
Cas concret au Luxembourg ou en UE
Une PSF de support luxembourgeoise, exposée à NIS 2 et au cadre CSSF, devait justifier ses dépendances critiques en vue d’audits renforcés. En 6 semaines, nous avons:
- déployé la découverte automatique sur les réseaux on‑prem et les comptes cloud (CSPM) ;
- intégré 14 applications SaaS clés (SSPM) et les annuaires IdP pour lier actifs ↔ identités ;
- normalisé la CMDB et relié chaque application aux données traitées et aux prestataires ;
- activé des contrôles “lacunes critiques”: appli sensible sans DPA, ressource cloud hors régions UE, base sans sauvegarde immuable ;
- publié un tableau de bord “AMLA/NIS 2 readiness” utilisé en comité de direction.
Résultat: périmètre et responsabilités clarifiés, 23 écarts de conformité comblés (dont 7 transferts SaaS réencadrés), un jeu de preuves prêt pour les demandes CSSF/ILR/CNPD.
Premiers pas concrets
- Décidez le modèle de données CMDB (actifs, applis, données, fournisseurs, flux) et nommez des propriétaires d’actifs par domaine.
- Activez la découverte sur 2 périmètres pilotes (ex: finance + RH) et connectez au moins 3 SaaS critiques (SSO, CRM, collaboration).
- Mappez vos prestataires critiques et rattachez‑les aux services/applis et aux catégories de données traitées (incl. hors UE).
- Reliez CMDB ↔ SIEM/XDR et créez 5 règles “hygiène de conformité” (nouvel actif critique non couvert par sauvegarde, ressource hors zone autorisée, SaaS sans MFA, etc.).
- Organisez une revue mensuelle avec DSI/DPO/CISO: écarts, plans d’action, indicateurs NIS 2/ISO 27001, préparation aux demandes AMLA/CSSF. Pour un accompagnement, contactez-nous via la page NIS 2 au Luxembourg et ILR.
Sources officielles
- CSSF — Circulaire 26/914 (25 juin 2026): Identification of obliged entities eligible for direct supervision by AMLA
- EUR‑Lex — Directive (UE) 2022/2555 (NIS 2), art. 21(2)(d)
- The Register — Eurail: passeports et données bancaires exposés (14 janv. 2026)
- Eurail — Déclaration d’incident sécurité des données (10 janv. 2026)
Besoin d’aide pour cadrer inventaire, contrôles et preuves? Notre équipe peut intervenir rapidement — parlez-nous de votre contexte.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →