Comment se conformer à l'article T.3 du RTS TLPT (UE 2025/1190) ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article T.3 du RTS TLPT (UE 2025/1190) (UE 2025/1190). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLa CSSF, autorité TLPT au sens de l'article 46 de DORA, sanctionné deux derives récurrentes : la selection d'un red team sans vérification documentee des certifications individuelles (CREST, OSCP, GIAC GXPN) et l'absence d'attestation d'assurance responsabilité civile professionnelle couvrant les dommages sur production reelle. Plus subtil encore, certaines banques luxembourgeoises pensent economiser en mobilisant leur équipe interne de pentest sans demander l'autorisation préalable a la CSSF, ce qui invalide retroactivement le test au regard du RTS 2025/1190 et oblige a recommencer le cycle complet de trois ans. La BCL, co-pilote du cadre TIBER-LU, refuse egalement le scénario ou la threat intelligence est produite en interne, même par une cellule CTI dediee.Les critères d'eligibilite que la CSSF verifiera ligne par ligneCertifications individuelles nominatives pour chaque membre du red team, avec dates de validité et preuve de renouvellement.Cinq références de TLPT ou red team opérations sur fonctions critiques en production, réalisées dans les trois dernières annees, secteur financier de préférence.Attestation d'assurance RC pro avec plafond explicite couvrant l'arret de service, la perte de données et les dommages reputationnels.Déclaration d'absence de conflit d'intérêts : le prestataire ne doit pas auditer, conseiller ou exploiter les mêmes systèmes que ceux testes.Pour les testeurs internes : organigramme prouvant la separation hierarchique vis-a-vis du CISO opérationnel et des équipes blue team, plus engagement ecrit de non-reutilisation au cycle suivant.Threat intelligence provider obligatoirement externe, distinct du red team, avec méthodologie documentee alignee TIBER-EU revise du 11 fevrier 2025.Comment Luxgap automatise ce risqueNotre Luxgap TLPT Tester Vetting Engine transforme la due diligence sur vos testeurs en dossier opposable a la CSSF en moins de 72 heures, la ou les banques mettent habituellement six semaines a constituer un dossier incomplet. L'outil interroge en continu les registres CREST, OffSec et GIAC via API officielles, croise les références declarees avec les bases publiques de breach disclosure et HackerOne, et genere automatiquement la matrice de conflits d'intérêts en analysant vos contrats fournisseurs Odoo, vos accès Active Directory et votre registre des sous-traitants TIC tenu au sens des circulaires CSSF 22/806 et 25/882.Vérifié en temps reel la validité des certifications individuelles de chaque red teamer propose et alerte des qu'une certification expire pendant la fenetre de test.Cartographie automatiquement les conflits d'intérêts en croisant le prestataire pressenti avec vos contrats TIC actifs, vos auditeurs externes et vos consultants en cybersécurité des cinq dernières annees.Genere le dossier d'autorisation préalable pour testeurs internes attendu par la CSSF, avec organigramme d'independance, engagement de non-reutilisation et matrice de separation des fonctions blue team / red...

Testeurs internes et externes : conditions et indépendance

Ils nous font confiance

Avant de discuter