Comment se conformer à l'article T.7 du RTS TLPT (UE 2025/1190) ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article T.7 du RTS TLPT (UE 2025/1190) (UE 2025/1190). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLa reconnaissance mutuelle n'est pas automatique. Trop d'entités luxembourgeoises filiales de groupes européens supposent qu'un TLPT realise sous supervision de la BaFin, de la Banque de France ou de la DNB couvre leur périmètre LU par defaut. La CSSF et la BCL sanctionnent l'absence de notification préalable et le defaut d'intégration du scope luxembourgeois (fonctions critiques opérées depuis Kahler, Esch ou Luxembourg-Ville) dans le pooled testing. Résultat : le test est invalide pour la juridiction LU et doit être rejoue, avec doublement du cout et retard sur le cycle triennal de l'article 26 DORA.Les pièges concrets du pooled et de la reconnaissance mutuelleScope LU absent du scoping document : si les fonctions critiques opérées depuis le Luxembourg ne sont pas explicitement listees dans le scope joint, la CSSF ne reconnaitra pas le test, même realise sous TIBER-EU.White team incomplete : la reconnaissance exige une white team incluant un représentant de l'entité LU et un point de contact CSSF/BCL des le kick-off, conformément au TIBER-LU Implementation Document revise le 20 juin 2025.Prestataire TIC critique commun : un test conjoint sur Equinix, eBRC, LuxConnect ou un cloud hyperscaler doit être coordonne avec la CSSF en amont, sous peine de violation des circulaires 22/806 et 25/882 sur la sous-traitance TIC.Threat intelligence non partagée : le TI provider doit fournir un dossier de menacé spécifique au contexte luxembourgeois (acteurs cibant la Place financiere), pas un copier-coller du dossier groupe.Remédiation siloee : les findings doivent alimenter le registre des risques TIC LU au sens de la circulaire 20/750, pas seulement le registre groupe.Attestation finale : la CSSF exige une attestation co-signee par l'autorité lead et la CSSF, sans quoi le TLPT n'est pas opposable.Comment Luxgap automatise ce risqueNotre Luxgap TLPT Cross-Border Orchestrator elimine la zone grise de la reconnaissance mutuelle en pilotant en temps reel la coordination entre votre lead authority européenne, la CSSF et la BCL. L'outil ingere votre scoping document groupe, mappe automatiquement les fonctions critiques opérées depuis le Luxembourg via vos référentiels CMDB, Azure Resource Graph et AWS Organizations, et detecte les ecarts qui invalideraient la reconnaissance par la CSSF avant même le kick-off.Detecte les fonctions critiques LU absentes du scoping document groupe en croisant CMDB, Active Directory, Azure tenants et registres de sous-traitance circulaire 22/806.Genere automatiquement le dossier de notification CSSF/BCL conforme au TIBER-LU Implementation Document du 20 juin 2025, avec scoping, white team composition et calendrier triennal article 26 DORA.Identifié les prestataires TIC critiques communs (eBRC, LuxConnect, hyperscalers, SWIFT) partagés avec d'autres entités financieres LU eligibles a un joint test, et propose le pooling optimal.Synchronise le threat intelligence provider et le red team provider sur les exigences s...

Reconnaissance mutuelle et tests groupés transfrontaliers

Ils nous font confiance

Avant de discuter