Chapitre 1 - : Définitions et champ d’application
Circulaire CSSF 24/847 sur le cadre de notification des incidents liés aux TIC · CSSF 24/847
Chapitre 1 : Définitions et champ d’application ....................................................................... 5
Section 1.1 : Définitions .................................................................................................... 5 Section 1.2 : Champ d’application ...................................................................................... 7
Chapitre 2 : Exigences générales .......................................................................................... 8
Section 2.1 : Incidents à notifier ........................................................................................ 8 Section 2.2 : Classification des incidents liés aux TIC ............................................................ 9 Section 2.3 : Notification d’incidents majeurs liés aux TIC ..................................................... 9
Au Luxembourg, la circulaire CSSF 24/847 s'applique a un périmètre très large d'entités surveillees : établissements de crédit, PSF, établissements de paiement, établissements de monnaie électronique, OPC, sociétés de gestion, fonds d'investissement alternatifs et leurs gestionnaires. Elle s'articule avec la loi du 18 decembre 2015 relative a la sécurité des réseaux et des systèmes d'information (transposition NIS) pour les OSE/FSN, et avec le règlement CSSF N 24-01. Le délai de notification initiale d'un incident majeur est de 4 heures après classification, avec rapport intermédiaire sous 72 heures et rapport final sous 1 mois.
Pratique Luxgap : pre-configurez aujourd'hui dans votre SIEM (Sentinel, Wazuh, Splunk) les règles de détection qui déclenchent automatiquement le compteur des 4 heures CSSF, et integrez le formulaire eDesk CSSF dans votre runbook d'astreinte. Sans cette automatisation, le délai initial est quasi impossible a tenir.
