Chapitre 3 - : Exigences spécifiques en vertu de la Loi SRI et du Règlement CSSF N° 24-01

Chapitre 3 : Exigences spécifiques en vertu de la Loi SRI et du Règlement CSSF N° 24-01 ......... 11

Section 3.1 : Notifications d’incidents par les Entités Surveillées qui sont également des OSE .. 11 Section 3.2 : Notifications d’incidents par les Entités Surveillées qui sont également des FSN .. 11

Chapitre 4 : Date d’application ........................................................................................... 12

Chapitre 1 : Définitions et champ d’application

Section 1.1 : Définitions 1. Aux fins de la présente circulaire, on entend par 2:

a) « Réseaux et systèmes d’information » : i. un réseau de communications électroniques au sens de l’article 2, point 1°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques 3 ; ii. tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ; ou iii. les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points i. et ii. ci-dessus en vue de leur fonctionnement, utilisation, protection et maintenance. b) « Sécurité des réseaux et des systèmes d’information » : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées ou transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles. c) « Incident lié aux TIC » : un événement unique ou une série d’événements liés entre eux que l’Entité Surveillée n’a pas prévu, qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’Entité Surveillée. d) « Incident majeur lié aux TIC » : un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’Entité Surveillée. e) « Fonction critique ou importante » : une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une Entité Surveillée, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction qui est susceptible de nuire sérieusement à la capacité d’une Entité Surveillée de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables des lois relatives aux services financiers.

2 Les définitions aux points 1.f) à 1.i) sont spécifiques aux Entités Surveillées soumises aux exigences de la Loi SRI et du Règlement CSSF N° 24-01. 3 Un « réseau de communications électroniques » : les systèmes de transmission, qu’ils soient ou non fondés sur une infrastructure permanente ou une capacité d’administration centralisée et, le cas échéant, les équipements de commutation ou de routage et les autres ressources, y compris les éléments de réseau qui ne sont pas actifs, qui permettent l’acheminement de signaux par câble, par la voie hertzienne, par moyen optique ou par d’autres moyens électromagnétiques, comprenant les réseaux satellitaires, les réseaux fixes (avec commutation de circuits ou de paquets, y compris l’internet) et mobiles, les systèmes utilisant le réseau électrique, pour autant qu’ils servent à la transmission de signaux, les réseaux utilisés pour la radiodiffusion sonore et télévisuelle et les réseaux câblés de télévision, quel que soit le type d’information transmise.

f) « Opérateur de services essentiels » (« OSE ») : conformément à l’article 2, point 3°, de la Loi SRI, une entité publique ou privée dont le type figure à l'annexe de la Loi SRI et 4 qui répond aux critères énoncés à l'article 7, paragraphe 2, de la Loi SRI . g) « Fournisseur de service numérique » (« FSN ») : conformément à l’article 2, point 5°, de la Loi SRI, une entité privée qui fournit un service numérique, tel que défini à l’article 5 2, point 4°, de la Loi SRI . h) « Service essentiel » : un service qui est essentiel au maintien d'activités sociétales et/ou économiques critiques et qui est listé en tant que service essentiel à l’article 2 du 6 règlement CSSF N° 20-04 du 15 juillet 2020 . i) « Incident significatif » : un incident qui a un impact significatif sur la continuité des services essentiels fournis par un OSE ou sur la prestation d’un service numérique par un 7 FSN au sein de l’Union européenne. Aux fins de la présente circulaire, un incident significatif est considéré par défaut comme « incident majeur lié aux TIC ».

2. Les entités suivantes sont à considérer comme Entités Surveillées dans le cadre de la présente circulaire :

a) les établissements de crédit et les professionnels du secteur financier au sens de la LSF ; b) les dispositifs de publication agréés (« APA ») avec une dérogation et les mécanismes de déclaration agréés (« ARM ») avec une dérogation au sens de la LSF ; c) les établissements de paiement et les établissements de monnaie électronique au sens de la LSP ; d) POST Luxembourg régi par la loi du 15 décembre 2000 sur les services financiers 8 postaux ; e) les sociétés de gestion de droit luxembourgeois soumises au chapitre 15 de la Loi OPCVM ; f) les sociétés de gestion de droit luxembourgeois soumises aux articles 125-1 ou 125-2 du chapitre 16 de la Loi OPCVM ; g) les succursales luxembourgeoises de gestionnaires de fonds d'investissement soumis au chapitre 17 de la Loi OPCVM ; h) les sociétés d’investissement qui n’ont pas désigné une société de gestion au sens de l’article 27 de la Loi OPCVM ;

4 En sa qualité d’autorité SRI, la CSSF a déjà notifié les Entités Surveillées concernées de leur identification en tant qu’OSE lorsque la Loi SRI est entrée en vigueur. La CSSF confirmera à nouveau le statut d’OSE aux Entités Surveillées concernées au plus tard le 1er mars 2024. Les Entités Surveillées qui n’ont pas reçu cette notification à la date prévue ne sont donc pas désignées comme OSE sans préjudice d’une possible désignation ultérieure. 5 En sa qualité d’autorité SRI, la CSSF a déjà informé les Entités Surveillées concernées qu’elles sont considérées comme FSN lorsque la Loi SRI est entrée en vigueur. La CSSF confirmera à nouveau le statut de FSN aux Entités Surveillées concernées au plus tard le 1er mars 2024. Les Entités Surveillées qui n’ont pas reçu cette information à la date prévue ne sont donc pas considérées comme FSN sans préjudice d’une possible information ultérieure. 6 Règlement CSSF N° 20-04 du 15 juillet 2020 relatif à la définition des services essentiels selon la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne. 7 Définition en ligne avec la Loi SRI. 8 Par souci de clarté, le terme « services financiers postaux » a la même signification qu’à l’article 1 de la loi modifiée du 15 décembre 2000.

i) les gestionnaires de fonds d’investissement alternatifs agréés au titre du chapitre 2 de la Loi GFIA ; j) les fonds d’investissement alternatifs à gestion interne au sens de l’article 4, paragraphe 1, point b), de la Loi GFIA ; k) les contreparties centrales (« CCP ») au sens de l’article 2, paragraphe 1, du Règlement 9 EMIR , y compris les contreparties centrales de pays tiers de catégorie 2 au sens de l’article 25, paragraphe 2bis, du Règlement EMIR, qui respectent les exigences applicables du Règlement EMIR conformément à l’article 25, paragraphe 2ter, point a), du Règlement EMIR ; l) les dépositaires centraux de titres au sens de la Loi DCT ; m) les administrateurs d’indices de référence d’importance critique au sens de l’article 20, 10 paragraphe 1, point b), du Règlement sur les indices de référence ; n) les prestataires de services de financement participatif au sens de la loi du 16 juillet 2019 relative à l’opérationnalisation de règlements européens dans le domaine des services financiers ; o) les établissements de crédit et les infrastructures des marchés financiers pour lesquels la CSSF est l’autorité compétente, en vertu de l’article 3 de la Loi SRI, en termes de sécurité des réseaux et de l’information et qui ont été identifiés en tant qu’OSE ; p) les PSF de support agréés conformément à l’article 29-3 de la LSF pour lesquels la CSSF est l’autorité compétente, en vertu de l’article 3 de la Loi SRI, en termes de sécurité des réseaux et de l’information et qui ont été informés par la CSSF qu’ils sont considérés comme FSN conformément à la Loi SRI.

Section 1.2 : Champ d’application 3. La présente circulaire définit les attentes prudentielles à respecter dans le cas d’un incident lié aux TIC.

4. Les dispositions du chapitre 2 (Exigences générales) de la présente circulaire s’appliquent à toutes les Entités Surveillées, telles que définies au point 2.a) à n) ci-dessus, ci-après dénommées collectivement « Entités Surveillées » ou individuellement « Entité Surveillée », y compris leurs succursales telles que précisées dans les lois respectives. Les succursales au Luxembourg d’entités ayant leur siège social dans un pays tiers sont réputées être incluses dans la notion d’Entité Surveillée.

5. Les succursales au Luxembourg d’entités qui font partie d’une entité juridique dont le siège social est situé dans un État membre de l’Espace économique européen (EEE) différent (succursales EEE) sont soumises à la surveillance de l’autorité compétente de cet État membre (État membre d’origine). Cependant, la CSSF étant compétente pour veiller à ce que les succursales EEE respectent les exigences spécifiques prévues dans les cadres légaux

9 Règlement (UE) n° 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux. 10 Règlement (UE) 2016/1011 du Parlement européen et du Conseil du 8 juin 2016 concernant les indices utilisés comme indices de référence dans le cadre d’instruments et de contrats financiers ou pour mesurer la performance de fonds d’investissement et modifiant les directives 2008/48/CE et 2014/17/UE et le règlement (UE) n° 596/2014.

et réglementaires sectoriels 11, la présente circulaire s’applique si un incident lié aux TIC a une incidence sur les domaines pour lesquels la CSSF conserve une responsabilité de contrôle.

6. Les dispositions du chapitre 3 (Exigences spécifiques en vertu de la Loi SRI et du Règlement CSSF N° 24-01) de la présente circulaire sont applicables uniquement aux Entités Surveillées qui sont également des OSE4 ou des FSN5.

7. Afin d’éviter la double notification, les Entités Surveillées tombant dans le champ d’application de la présente circulaire ne sont pas tenues de notifier, en vertu de la présente circulaire, les incidents qu’elles notifient conformément à :

a) la circulaire CSSF 21/787 concernant l’application des Orientations de l’EBA (EBA/GL/2021/03) sur la notification des incidents majeurs en vertu de la directive DSP2 ; et/ou b) le cadre de notification des cyberincidents pour les Entités Surveillées définies en tant qu’établissements d’importance significative tombant sous la supervision directe de la BCE ; et/ou c) l’article 45, paragraphe 6, du règlement (UE) n° 909/2014 relatif à la notification d’incidents résultant de risques que les participants clés, les prestataires de services et les fournisseurs de services de réseau, les autres dépositaires centraux de titres (« DCT ») ou les autres infrastructures de marché sont susceptibles de représenter pour les activités de DCT ; et/ou d) l’article 71, paragraphe 4, point b), du règlement délégué (UE) 2017/392 de la Commission du 11 novembre 2016 complétant le règlement (UE) n° 909/2014 relatif à la notification d’incidents opérationnels importants à l’autorité compétente. 8. Par dérogation au point 7 ci-dessus, les Entités Surveillées tombant sous le point 7.b) et qui sont également des OSE sont tenues, conformément à la présente circulaire, de notifier à la CSSF les incidents qui ont un impact sur la continuité des services essentiels qu’elles fournissent, en sus de leurs autres obligations en matière de notification d’incidents.