Vue d'ensemble : comment DORA, le RTS 2025/1190 et TIBER-LU s'articulent

Le règlement délégué (UE) 2025/1190 est la norme technique de réglementation (RTS) qui complète l'article 26 de DORA (règlement UE 2022/2554) sur les tests de pénétration fondés sur la menace (Threat-Led Penetration Testing, TLPT). Publié au Journal officiel le 18 juin 2025, il est directement applicable depuis le 8 juillet 2025.

La chaîne réglementaire à comprendre :

• DORA art. 26 et 27 posent l'obligation de TLPT pour les entités financières significatives et imposent un alignement sur le cadre TIBER-EU.
• Le RTS 2025/1190 précise les critères d'identification des entités soumises, les exigences pour les testeurs, le périmètre, la méthodologie et les phases du test, la clôture et la remédiation.
• Au Luxembourg, la mise en oeuvre passe par le cadre TIBER-LU, adopté conjointement par la BCL et la CSSF en novembre 2021 et révisé le 20 juin 2025 pour s'aligner sur DORA et sur le TIBER-EU révisé par la BCE (11 février 2025).
• La CSSF est l'autorité TLPT pour les entités sous sa supervision (article 46 de DORA).

Autrement dit : DORA dit "il faut tester", le RTS 2025/1190 dit "voici comment", et TIBER-LU est le mode d'emploi luxembourgeois opéré par la BCL et la CSSF.