Je dois mettre mon organisation luxembourgeoise en conformite à l'article 2 du CSSF 24/847 (CSSF 24/847). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Cadre européenRGPD NIS 2 DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 2

Chapitre 2 - : Exigences générales

Circulaire CSSF 24/847 sur le cadre de notification des incidents liés aux TIC · CSSF 24/847

Chapitre 2 : Exigences générales

Section 2.1 : Incidents à notifier 9. Les Entités Surveillées doivent notifier les incidents suivants conformément à la procédure définie à la section 2.3 :

a) tout accès malveillant non autorisé réussi aux réseaux et systèmes d’information. Aux fins de la présente circulaire, ces accès malveillants non autorisés réussis sont à considérer comme incidents majeurs liés aux TIC ; b) tout incident autre que ceux visés au point a) ci-dessus, classifié conformément à la section 2.2 en tant qu’incident majeur lié aux TIC.

11 Notamment dans le cadre de services d’investissement conformément à la loi modifiée du 30 mai 2018 relative aux marchés d’instruments financiers (ci-après la « Loi MiFID »), la loi modifiée du 12 novembre 2004 relative à la lutte contre le blanchiment et contre le financement du terrorisme (ci-après la « Loi LBC/FT »), la fourniture de services de gestion de portefeuille et l’exercice de tâches de dépositaire pour les organismes de placement collectif établis au Luxembourg.

Section 2.2 : Classification des incidents liés aux TIC 10. Les Entités Surveillées doivent classifier les incidents liés aux TIC et évaluer leur incidence sur base des critères suivants : 12 a) le nombre et/ou la pertinence des clients ou des contreparties financières affectés et, le cas échéant, le montant ou le nombre de transactions affectées par l’incident lié aux TIC et si cet incident a porté atteinte à la réputation ; b) la durée de l’incident lié aux TIC, y compris les interruptions de service ; c) la répartition géographique en ce qui concerne les zones touchées par l’incident lié aux TIC, en particulier si celui-ci touche plus de deux États membres ; d) les pertes de données occasionnées par l’incident lié aux TIC en ce qui concerne la disponibilité, l’authenticité, l’intégrité ou la confidentialité ; e) la criticité des services touchés, y compris les transactions et les opérations de l’Entité Surveillée ; f) les conséquences économiques, en particulier les coûts et pertes directs et indirects, en termes absolus et relatifs, de l’incident lié aux TIC.

11. Lorsque l’évaluation interne de l’Entité Surveillée fondée sur les critères énoncés au point 10 conduit l’Entité Surveillée à classifier un incident lié aux TIC en tant qu’incident majeur, l’incident lié aux TIC doit être considéré comme majeur en vertu de la présente circulaire.

12. Lorsque l’évaluation visée au point 11 ne permet pas de conclure clairement si un incident lié aux TIC est à classifier comme majeur, les Entités Surveillées doivent notifier l’incident lié aux TIC à la CSSF.

13. Les Entités Surveillées doivent classifier l’incident lié aux TIC rapidement après la détection de l’incident lié aux TIC et sans délai indu suivant la disponibilité de l’information requise pour la classification de l’incident lié aux TIC aux Entités Surveillées, mais pas plus tard que 24 heures suivant la détection de cet incident lié aux TIC. Si un délai plus long est nécessaire pour classifier l’incident lié aux TIC, les Entités Surveillées doivent en expliquer les raisons dans la notification initiale soumise à l’autorité compétente. Lorsque le délai pour la classification tombe un jour de fin de semaine ou un jour férié, les Entités Surveillées peuvent classifier l’incident le jour ouvrable suivant.

Section 2.3 : Notification d’incidents majeurs liés aux TIC 14. Les Entités Surveillées doivent soumettre à la CSSF, endéans les délais fixés à l’annexe I, les notifications suivantes relatives aux incidents majeurs liés aux TIC :

a) Une notification initiale avec des « Informations initiales » lorsque l’incident lié aux TIC a été classifié comme majeur. b) Une notification intermédiaire avec « Causes, classification et incidence de l’incident » après la notification initiale visée au point 14.a), suivi, le cas échéant, de notifications actualisées chaque fois qu’une mise à jour pertinente est disponible, ainsi que sur demande spécifique de la CSSF.

12 Les Entités Surveillées qui sont également des OSE doivent prendre en considération le nombre d’utilisateurs touchés par la perturbation du service essentiel. Les Entités Surveillées qui sont également des FSN doivent prendre en considération le nombre d'utilisateurs touchés par l'incident, en particulier ceux qui recourent au service numérique pour la fourniture de leurs propres services.

c) Une notification finale, lorsque l’analyse des causes originelles est terminée, que des mesures d’atténuation aient été mises en œuvre pleinement ou non, et lorsque les chiffres relatifs aux incidences réelles sont disponibles en lieu et place des estimations. Dans cette notification, les Entités Surveillées peuvent ajouter tout suivi ou informations complémentaires qu’elles jugent utiles pour l’incident lié aux TIC.

15. Lorsque l’incident lié aux TIC s’avère avoir ou pourrait avoir une grave incidence (par exemple, l’indisponibilité totale des systèmes), l’Entité Surveillée doit notifier la CSSF dès que possible endéans le délai fixé et, le cas échéant, avant la soumission formelle du formulaire de notification.

16. Les notifications concernant les incidents liés aux TIC visées au point 14 doivent être soumises à l’aide du formulaire correspondant disponible via la solution numérique de la CSSF, telle que précisée sur le site Internet de la CSSF.

17. Les Entités Surveillées doivent compléter la section pertinente du formulaire de notification, en fonction de la phase dans laquelle elles se trouvent (c.-à-d. la section « Informations initiales » (Initial Information) pour les notifications initiales, la section « Causes, classification et incidence de l’incident » (Incident cause, classification and impact) pour les notifications intermédiaires et la section « Causes originelles - suivi et informations complémentaires » (Root cause – Follow-up and additional information) pour les notifications finales). Le formulaire de notification contient des champs de données prévus à l’annexe II (uniquement disponible en anglais).

18. Les sections du formulaire de notification doivent être soumises dans l’ordre indiqué sous le point 14. Si l’Entité Surveillée dispose de toutes les informations requises au moment de la notification initiale, une seule soumission (contenant toutes les sections du formulaire de notification) doit être faite.

19. Les Entités Surveillées doivent également notifier à l’autorité compétente lorsque, en raison de l’évaluation continue de l’incident lié aux TIC, il a été déterminé qu’un incident lié aux TIC déjà notifié ne remplit plus les critères pour être considéré comme majeur et il est présumé que l’incident lié aux TIC ne les remplit pas avant sa résolution. Dans ce cas, les Entités Surveillées doivent reclassifier l’incident lié aux TIC dès que cette circonstance est identifiée et fournir une explication des raisons justifiant cette reclassification à la section « Informations initiales » du formulaire de notification.

20. Les Entités Surveillées peuvent externaliser les obligations de déclaration prévues par le présent chapitre à un prestataire tiers. Dans le cas d’une telle externalisation, l’Entité Surveillée reste pleinement responsable du respect des exigences en matière de déclaration des incidents liés aux TIC endéans les délais applicables et pour le contenu complet des déclarations des incidents.

Chapitre 3 : Exigences spécifiques en vertu de la Loi SRI et du Règlement CSSF N° 24-01

Section 3.1 : Notifications d’incidents par les Entités Surveillées qui sont également des OSE 21. Conformément à l’article 8, paragraphe 4, de la Loi SRI, les Entités Surveillées qui sont également des OSE doivent notifier à la CSSF, sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’elles fournissent. On considère que la notion de « sans retard injustifié » est considérée comme respectée lorsque les Entités Surveillées soumettent leur notification d’incident conformément aux délais indiqués à la section 2.3 (Notification d’incidents majeurs liés aux TIC) et à l’annexe I.

22. À cet égard, conformément à l’article 8, paragraphe 5, de la Loi SRI et au Règlement CSSF N° 24-01, les Entités Surveillées qui sont également des OSE doivent évaluer si l’incident est à classifier en tant qu’incident significatif en appliquant mutatis mutandis les exigences énoncées à la section 2.2 (Classification des incidents liés aux TIC) et doivent notifier les incidents significatifs conformément aux exigences énoncées à la section 2.3 (Notification d’incidents majeurs liés aux TIC).

23. Les accès malveillants non autorisés réussis doivent être considérés par défaut comme des incidents significatifs et doivent être notifiés conformément aux exigences énoncées à la section 2.3 (Notification d’incidents majeurs liés aux TIC).

24. Lorsqu’un incident est classifié en tant qu’incident significatif et en tant qu’incident majeur lié aux TIC (par exemple, l’incident impacte aussi bien les services essentiels en vertu de la Loi SRI que les autres fonctions critiques ou importantes), les Entités Surveillées qui sont également des OSE doivent notifier l’incident une seule fois et indiquer dans leur notification que l’incident est également notifié en vertu de la Loi SRI.

Section 3.2 : Notifications d’incidents par les Entités Surveillées qui sont également des FSN 25. L’article 11, paragraphe 3, de la Loi SRI et le Règlement CSSF N° 24-01 indiquent que les FSN doivent notifier à l’autorité compétente, sans retard injustifié, les incidents ayant un impact significatif sur la fourniture d’un service numérique qu’ils offrent dans l’Union européenne. On considère que la notion de « sans retard injustifié » est considérée comme respectée lorsque les Entités Surveillées soumettent leur notification d’incident conformément aux délais indiqués à la section 2.3 (Notification d’incidents majeurs liés aux TIC) et à l’annexe I.

26. Les Entités Surveillées qui sont également des FSN doivent :

a) évaluer si un incident (y compris des accès malveillants non autorisés réussis, tels que définis au point 9.a) de la section 2.1) est à classifier en tant qu’incident significatif conformément aux articles 3 et 4 du règlement d’exécution (UE) 2018/151 de la

13 Commission du 30 janvier 2018 portant précision de l’article 11, paragraphe 4, de la Loi SRI ; b) appliquer mutatis mutandis les points 12 et 13 de la section 2.2 (Classification des incidents liés aux TIC) ; c) notifier les incidents significatifs conformément aux exigences énoncées à la section 2.3 (Notification d’incidents majeurs liés aux TIC).

27. Lorsqu’un incident est classifié en tant qu’incident significatif et en tant qu’incident majeur lié aux TIC, les Entités Surveillées qui sont également des FSN doivent notifier l’incident une seule fois et indiquer dans leur notification que l’incident est également notifié en vertu de la Loi SRI.

Spécificité Luxembourg

circulaire CSSF 24/847 et reglement CSSF N 24-01 du 11 mars 2024

Au Luxembourg, la circulaire CSSF 24/847 impose une notification a la CSSF via la solution numérique dediee (eDesk), distincte des canaux DORA (vers la CSSF egalement, mais sur la base du règlement CSSF N 24-01) et NIS 2 (vers le HCPN et l'ILR selon le secteur). Une entité financiere luxembourgeoise peut être soumise simultanement aux trois cadres et doit notifier en parallele, sur des canaux differents, avec des seuils legerement differents.

Pratique Luxgap : nous cartographions en amont vos obligations multi-cadres (DORA, NIS 2, CSSF 24/847, PSD2 SecuRePay le cas echeant) et configurons le moteur de qualification pour déclencher automatiquement les notifications paralleles avec le bon formulaire et le bon délai sur chaque canal.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 2 de la circulaire CSSF 24/847 transforme la classification des incidents TIC en course contre la montre : 24 heures maximum entre la détection et la décision de qualifier l'incident comme majeur. La CSSF sanctionné deux defaillances récurrentes : la sous-qualification (un incident classe mineur que l'autorité requalifie majeur a posteriori) et la classification tardive faute de critères opérationnels documentes. Tout accès malveillant non autorise reussi est automatiquement majeur, sans pouvoir d'appreciation, ce qui piège les entités qui voudraient minimiser un incident de sécurité avere.

Les 6 critères de classification a operationnaliser avant l'incident

La CSSF n'accepte pas une évaluation qualitative au doigt mouille. Vos procédures internes doivent prévoir des seuils chiffres pour chacun des critères de l'article 2.2 :

Nombre et pertinence des clients ou contreparties affectes (definir un seuil absolu et un seuil relatif au portefeuille).
Durée de l'interruption de service (typiquement quelques heures pour les services critiques).
Répartition géographique, en particulier le franchissement de deux états membres.
Pertes de données touchant disponibilite, authenticite, intégrité ou confidentialité.
Criticite des services touches (cartographier en amont vos fonctions critiques au sens DORA art. 8).
Conséquences economiques directes et indirectes, en valeur absolue et en pourcentage du résultat.

Le piège ultime : en cas de doute non leve, la circulaire impose la notification. Mieux vaut une notification eventuellement retiree qu'un silence requalifie en manquement. La cohabitation avec DORA art. 19 (délai initial 4h après classification, 24h max) et la Loi SRI (NIS 2, notification a l'ILR ou au HCPN selon le secteur) ajoute une complexité multi-cadres que les équipes IT opérationnelles maitrisent rarement seules a 3h du matin.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Severity Engine transforme la fenetre de 24h en décision automatisée et tracable en moins de 15 minutes. L'outil ingere en temps reel vos alertes Microsoft Sentinel, Defender XDR, CrowdStrike Falcon, Wazuh et SIEM eBRC, croise avec votre cartographie de fonctions critiques (importee depuis votre registre DORA) et applique un moteur de règles calibre sur les 6 critères de la circulaire 24/847 plus les seuils DORA. Résultat : une qualification motivee, horodatee et opposable, livree directement au RSSI et au comite de direction.

Detecte chaque incident TIC eligible des qu'une alerte SIEM franchit un seuil de sévérité et déclenche immediatement le chronometre 24h prévu au point 13.
Calcule en continu les 6 critères de l'article 2.2 en s'alimentant sur le nombre de clients impactes (extrait CRM), la durée d'indisponibilite (extrait monitoring), la périmètre géographique (logs Azure AD) et le cout estime (modèle financier intégré).
Force la qualification automatique en incident majeur des qu'un accès malveillant non autorise reussi est confirme, sans laisser de marge d'interprétation aux équipes terrain.
Pre-remplit les trois notifications CSSF (Initial Information, Incident cause classification and impact, Root cause follow-up) avec les délais de l'annexe I, et alerte sur la double notification DORA et Loi SRI lorsque l'entité est multi-cadres.
Genere un dossier de classification PDF horodate et signe cryptographiquement, opposable a la CSSF en cas de contrôle ultérieur, demontrant la diligence raisonnable du point 13.
Maintient un journal d'audit des classifications non-majeures, justifiant pourquoi l'incident n'a pas franchi le seuil, conformément a l'attente CSSF d'une accountability documentee.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre regulatoire (DORA seul, DORA plus NIS 2, CSSF 24/847 standalone). Demandez un devis personnalise et nos équipes preparent une demonstration sur vos alertes SIEM reelles, avec un audit blanc gratuit sous 48h pour mesurer votre délai actuel de classification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Chapitre 2 - : Exigences générales

Ils nous font confiance

Avant de discuter