Comment se conformer à l'article T.6 du RTS TLPT (UE 2025/1190) ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article T.6 du RTS TLPT (UE 2025/1190) (UE 2025/1190). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLa CSSF ne sanctionné pas le fait d'avoir trouve des vulnerabilites lors du TLPT, elle sanctionné l'absence de remédiation tracee. Le piège : produire un beau rapport final, obtenir l'attestation, puis classer le sujet. Six mois plus tard, lors du contrôle annuel ICT au titre de DORA art. 6, l'autorité demande la preuve que chaque finding a ete corrige et re-teste. Sans registre de remédiation horodate alimentant le dispositif de gestion des risques TIC (circulaire 20/750 modifiee par 25/881), l'entité est en defaut de DORA art. 5 a 16, et la BCL peut requalifier le TLPT en exercice purement formel.Les exigences concretes de la phase cloture RTS T.6Rapport de synthese signe par le red team provider et valide par la white team, avec mapping MITRE ATT&CK et chaîne d'attaque complète.Plan de remédiation hierarchise par criticite (CVSS + impact metier sur les fonctions critiques testees), avec proprietaire nomme et echeance ferme pour chaque finding.Attestation CSSF delivree uniquement si le test couvre effectivement les fonctions critiques en production, avec presence des trois équipes (red, blue, white) et threat intelligence documentee.Re-test obligatoire des findings critiques et eleves avant cloture definitive, preuve technique a l'appui (screenshots, logs SIEM, tickets ITSM).Intégration des findings dans le registre des risques TIC DORA et dans le plan de continuite, avec mise à jour des scénarios d'incident.Conservation de la documentation pendant au moins 5 ans pour audit CSSF et inspection BCL au titre de TIBER-LU.Inclusion explicite des prestataires TIC testes dans le périmètre, conformément au RTS sous-traitance 2025/532 et aux circulaires CSSF 22/806 et 25/882.Comment Luxgap automatise ce risqueNotre Luxgap TLPT Remédiation Tracker transforme votre plan de remédiation post-TLPT en preuve opposable continue, et rend impossible la derive entre l'attestation CSSF et le contrôle annuel DORA. L'outil ingere automatiquement le rapport red team (formats MITRE ATT&CK Navigator, Cobalt Strike, Dradis), reconcilie chaque finding avec votre registre des risques TIC, et pilote la remédiation jusqu'au re-test certifie sans intervention manuelle du CISO.Ingere le rapport red team et eclate automatiquement chaque finding en tickets Jira, ServiceNow ou Azure DevOps, avec proprietaire, echeance et criticite calculee selon CVSS et impact sur les fonctions critiques.Synchronise en temps reel l'état de remédiation avec votre SIEM (Microsoft Sentinel, Splunk, Wazuh) et votre EDR (Defender, CrowdStrike) pour prouver techniquement que le correctif est deploye et actif.Déclenche automatiquement un re-test cible sur les findings critiques via intégration avec votre red team provider ou via scan authentifie, et archive la preuve de fermeture.Alimente directement le registre des risques TIC DORA art. 6 et met à jour les indicateurs de la circulaire CSSF 20/750, avec piste d'audit cryptographiquement scellee.Genere un dashboard CSSF-ready qui pr...

Clôture, rapport et remédiation : ce que l'autorité attend

Ils nous font confiance

Avant de discuter