DORA — TLPT encadré par le règlement délégué (UE) 2025/1190

Le 13 février 2025, la Commission européenne a adopté le règlement délégué (UE) 2025/1190, publié au JO le 18 juin 2025, qui complète DORA en définissant le cadre opérationnel du TLPT. Pour les entités luxembourgeoises, la CSSF agit comme « autorité TLPT », ce qui clarifie qui doit tester, quand et comment. Pour le fond, voir le texte de base de DORA (règlement (UE) 2022/2554, chap. IV, art. 24–27) et le règlement délégué sur EUR‑Lex.

Pour le contexte réglementaire consolidé, vous pouvez également consulter le chapitre IV de DORA et ses actes délégués et la mise en œuvre au Luxembourg.

L’affaire

La Commission a adopté le règlement délégué (UE) 2025/1190 qui précise les critères d’identification des entités tenues de réaliser un test de pénétration piloté par la menace (TLPT), les exigences relatives aux testeurs internes, la méthode de test, les livrables et la coopération entre autorités. Texte officiel: EUR‑Lex, « Commission Delegated Regulation (EU) 2025/1190 of 13 February 2025 », JO L du 18.6.2025. — Lien EUR‑Lex 2025/1190.

Ce règlement s’inscrit dans le cadre de DORA, applicable depuis le 17 janvier 2025, notamment son article 26 sur les tests avancés fondés sur le TLPT. Texte de base: règlement (UE) 2022/2554 (DORA), chapitre IV, articles 24–27. — Lien EUR‑Lex DORA.

Au Luxembourg, la CSSF confirme qu’elle est l’« autorité TLPT » pour les entités sous sa supervision (article 46 DORA) et renvoie aux actes délégués, dont 2025/1190, ainsi qu’à ses circulaires d’alignement DORA. Page de référence: « TIC et cyber‑risque – pour les entités DORA – CSSF ». — Lien CSSF.

Enfin, les autorités européennes de supervision (EBA, ESMA, EIOPA) ont annoncé, le 17 juillet 2024, la transmission à la Commission de leurs projets finaux d’RTS TLPT, base du 2025/1190. Communiqués: — EBA et — ESMA.

Le raisonnement juridique

1) Le fondement DORA

• L’article 26 DORA impose des « tests avancés […] sur la base d’un TLPT » pour certaines entités, « au moins tous les trois ans » (voir par ex. consolidation officielle: article 26(8)). Base: règlement (UE) 2022/2554, chap. IV.
• DORA délègue à la Commission le soin de préciser, via des RTS, les critères d’identification des entités devant réaliser un TLPT, la méthode, les livrables et la coopération (article 26(11)).

2) Le contenu prescriptif du règlement délégué (UE) 2025/1190

• Identification des entités soumises au TLPT: l’article 2 charge l’« autorité TLPT » d’évaluer l’impact, le caractère systémique et le profil de risque ICT, sur la base de critères détaillés. Le texte prévoit aussi des TLPT « poolés » ou « conjoints » (article 8).
• Organisation et méthode: cycle en trois phases — préparation (article 9, charte de projet et périmètre), test (articles 10–11, renseignement de menace ciblé puis exercice « red team »), clôture (article 12) — avec annexes listant le contenu attendu (p. ex. annexe II: spécification du périmètre; annexe V: rapport « red team »; annexe VII: résumé pour l’autorité; annexe VIII: attestation).
• Testeurs internes et indépendance: l’article 15 encadre strictement les cas où des testeurs internes peuvent être utilisés (compétences, indépendance, séparation des rôles).
• Reconnaissance mutuelle: l’article 16 organise la coopération entre autorités pour éviter la répétition de TLPT multi‑pays.

3) Rôle de l’autorité luxembourgeoise

La CSSF se positionne explicitement comme « TLPT authority » pour les entités sous sa surveillance (article 46 DORA) et renvoie à l’application directe des actes délégués. Elle précise en ligne les autres actes adoptés et ses circulaires d’alignement publiées le 9 avril 2025. — Page CSSF TIC/cyber DORA.

Ce que ça change concrètement

• Qui est concerné: l’obligation n’est pas universelle. L’autorité TLPT (CSSF) identifie les entités au regard de critères objectifs (impact systémique, profil de risque, dépendances ICT critiques), article 2 du (UE) 2025/1190. Concrètement, banques d’importance significative, infrastructures de marché, PSF à forte criticité et assureurs systémiques sont des candidats naturels. — Sources: 2025/1190, art. 2; DORA art. 26(9)–(11). EUR‑Lex 2025/1190.
• Fréquence: une fois désignée, l’entité doit conduire un TLPT « au moins tous les trois ans » (DORA art. 26(8)). Un TIBER‑EU antérieur peut, sous conditions, être reconnu, si la méthode et les livrables satisfont 2025/1190 (articles 11–12 et annexes VII–VIII). — Sources: DORA art. 26; 2025/1190.
• Périmètre et livrables: le périmètre est cadré par la spécification (annexe II) alignée sur les fonctions critiques. Livrables minimaux: rapport « red team », rapport « blue team », plan de remédiation, attestation (articles 12–14; annexes V–VIII).
• Gouvernance et indépendance: l’usage de testeurs internes est possible mais strictement encadré (article 15); sinon, recourir à des prestataires répondant aux exigences d’indépendance/compétences (article 7). Pour structurer ces exigences, le pilotage cyber peut aider à outiller la gouvernance opérationnelle.
• Luxembourg: la CSSF coordonne la désignation, la reconnaissance mutuelle et le contrôle de qualité. Anticiper les échanges avec la CSSF dès la phase de cadrage (charte de projet, annexe I) est recommandé. Pour la planification plus large de la résilience, voir nos pages dédiées à la résilience opérationnelle.

Exemple: un établissement de crédit d’importance significative avec services de paiement critiques, hébergés sur une plateforme cloud externalisée, sera typiquement désigné TLPT. Il devra établir une charte de projet (annexe I), définir un périmètre incluant la chaîne de paiements de bout en bout (annexe II), produire un renseignement de menace ciblé (article 10), conduire l’exercice « red team » (article 11), et remettre à la CSSF un résumé des constats (annexe VII) avec un plan de remédiation (article 13).

Pièges fréquents

1. Confusion « test d’intrusion » vs TLPT: un pentest classique n’est pas un TLPT. Le 2025/1190 impose un cycle renseignement de menace – red teaming – clôture avec attestation (article 10; annexe III).
2. Périmètre trop IT et pas assez métier: couvrir des services/fonctions « critiques ou importants » et les dépendances (y compris fournisseurs) est indispensable (annexe II).
3. Indépendance des testeurs internes mal démontrée: l’article 15 exige séparation des rôles, compétences et indépendance.
4. Livrables incomplets pour l’autorité: le résumé (annexe VII) et l’attestation (annexe VIII) sont normés.
5. Oublier la reconnaissance mutuelle: pour les groupes transfrontaliers, anticiper l’article 16 et coordonner tôt avec la CSSF évite des doublons.

Sources officielles

• EUR‑Lex — Règlement délégué (UE) 2025/1190 du 13 février 2025 (RTS TLPT), JO L du 18.6.2025: https://eur-lex.europa.eu/eli/reg_del/2025/1190/oj.
• EUR‑Lex — Règlement (UE) 2022/2554 (DORA), chap. IV (articles 24–27): https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:32022R2554.
• CSSF — « TIC et cyber‑risque – pour les entités DORA »: https://www.cssf.lu/fr/tic-et-cyber-risque-pour-les-entites-dora/.
• EBA — Communiqué du 17 juillet 2024: https://www.eba.europa.eu/publications-and-media/press-releases/esas-published-second-batch-policy-products-under-dora.
• ESMA — Communiqué du 17 juillet 2024: https://www.esma.europa.eu/press-news/esma-news/esas-published-second-batch-policy-products-under-dora.

Remarques de conformité

• Dates clés: adoption du 2025/1190 le 13.02.2025; publication JO le 18.06.2025; DORA applicable depuis le 17.01.2025.
• Autorité luxembourgeoise: CSSF comme « TLPT authority » (article 46 DORA) — confirmé sur le site CSSF.
• Hors périmètre: pour les entités non financières relevant de NIS 2, le TLPT DORA ne s’applique pas, mais des exigences d’essais existent côté NIS 2; l’articulation dépend de votre régulation primaire.

Besoin d’un accompagnement? Contactez‑nous pour cadrer votre programme TLPT et sa gouvernance, ou pour renforcer votre CISO externalisé.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.