Harmonisation accrue des outils, méthodes, processus et politiques de gestion du risque lié aux TIC

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Les AES élaborent, par l’intermédiaire du comité mixte, en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA), des projets communs de normes techniques de réglementation afin:

de préciser davantage les éléments à inclure dans les politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données, de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques, et de garantir une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié;

d’approfondir les composantes relatives au contrôle des droits de gestion des accès visés à l’article 9, paragraphe 4, point c), et de la politique connexe en matière de ressources humaines, en précisant les droits d’accès, les procédures d’octroi et de révocation des droits, le suivi des comportements anormaux par rapport au risque lié aux TIC au moyen d’indicateurs adéquats, notamment pour les manières d’utiliser le réseau et les heures d’utilisation du réseau, l’activité de TIC et les dispositifs inconnus;

d’approfondir les mécanismes précisés à l’article 10, paragraphe 1, qui permettent une détection rapide des activités anormales, ainsi que les critères définis à l’article 10, paragraphe 2, qui entraînent le déclenchement des processus de détection des incidents liés aux TIC et de réponse à ces incidents;

d)	de détailler davantage les composantes de la politique de continuité des activités de TIC visée à l’article 11, paragraphe 1;

de détailler davantage les tests des plans de continuité des activités de TIC visés à l’article 11, paragraphe 6, afin de veiller à ce que ces tests tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique ou importante échoue, et à ce que ces tests prennent dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout prestataire tiers de services TIC concerné et, le cas échéant, les risques politiques dans les juridictions des prestataires en question;

f)	de détailler davantage les composantes des plans de réponse et de rétablissement des TIC visés à l’article 11, paragraphe 3;

g)	de préciser davantage le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 5.

Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, tout en tenant dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Spécificité Luxembourg

Circulaire CSSF 24/847 du 5 aout 2024 relative au cadre de gestion du risque TIC et a la notification des incidents majeurs lies aux TIC

Au Luxembourg, la CSSF a intégré les RTS DORA dans sa circulaire CSSF 24/847 relative a la notification des incidents et au cadre de gestion du risque TIC, qui remplace partiellement la circulaire 22/806 sur l'externalisation pour les aspects TIC. La CSSF exige que le rapport annuel article 6§5 soit transmis via le portail eDesk dans un format structure, et procede a des inspections thematiques ciblees sur la cryptographie et la gestion des acces depuis le second semestre 2024.

Pratique Luxgap : nous parametrons le DORA RTS Compliance Engine avec le mapping exact des attentes CSSF (circulaire 24/847, FAQ DORA CSSF) pour que votre rapport annuel soit directement exploitable par votre superviseur, sans retraitement.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 15 est trompeur : il ne s'adresse pas directement aux entités financieres mais aux AES (EBA, EIOPA, ESMA) qui elaborent les RTS techniques. Pourtant, c'est le piège majeur. Les RTS adoptes en janvier 2024 (Règlement délégué 2024/1774) sont devenus le standard de contrôle de la CSSF. Les banques et fintechs qui ont implemente DORA en lisant uniquement le règlement de base, sans intégrer les RTS, decouvrent lors des inspections que leur cadre est juge incomplet sur la cryptographie, le monitoring des comportements anormaux, ou les scenarios de test BCP.

Les 7 domaines couverts par les RTS DORA qui sont devenus opposables

Politiques de sécurité TIC (art. 9§2) : exigences détaillées sur chiffrement au repos et en transit, gestion des clés cryptographiques, segmentation réseau.
Gestion des acces (art. 9§4) : procédures d'octroi et revocation, monitoring des comportements anormaux (heures inhabituelles, appareils inconnus, patterns réseau atypiques).
Détection des activités anormales (art. 10) : critères de déclenchement des processus de détection et reponse aux incidents.
Politique de continuite TIC (art. 11§1) : composantes obligatoires de la BCP.
Tests des plans de continuite (art. 11§6) : scenarios incluant l'insolvabilite d'un prestataire tiers critique et les risques politiques juridictionnels.
Plans de reponse et retablissement (art. 11§3) : RTO, RPO, procédures de bascule.
Rapport annuel sur le cadre de gestion du risque TIC (art. 6§5) : contenu et format normalises, transmis a la CSSF.

La CSSF, dans sa circulaire 24/847 et ses inspections 2024-2025, vérifié la conformité ligne par ligne aux RTS, pas seulement au règlement de base. Les sanctions DORA peuvent atteindre 1% du chiffre d'affaires journalier moyen de l'entité financiere, applicables chaque jour de manquement persistant.

Comment Luxgap automatise ce risque

Notre Luxgap DORA RTS Compliance Engine transforme les 7 domaines des RTS DORA en un référentiel vivant qui scanne en continu votre infrastructure et mesure votre ecart aux 200+ exigences techniques opposables. L'outil se connecte nativement a Microsoft Defender, Azure Sentinel, CrowdStrike, Active Directory, votre IAM (Okta, Entra ID), vos solutions BCP (Veeam, Commvault) et vos plateformes d'hébergement luxembourgeoises (eBRC, LuxConnect, POST Telecom) pour materialiser la realite de votre posture, sans formulaires déclaratifs.

Scanne automatiquement vos politiques de chiffrement (TLS, AES, gestion des clés HSM) et detecte les ecarts aux exigences cryptographiques des RTS article 9§2.
Correle les logs Active Directory et Entra ID pour détecter en temps reel les comportements d'acces anormaux (heures inhabituelles, géolocalisation, appareils inconnus) selon les indicateurs RTS article 9§4.
Genere automatiquement les scenarios de test BCP exiges par l'article 11§6, incluant la simulation d'insolvabilite de vos prestataires critiques (Microsoft, AWS, eBRC) et les risques politiques juridictionnels.
Produit le rapport annuel de reexamen du cadre de gestion du risque TIC au format CSSF attendu, prerempli avec les preuves techniques collectees sur 12 mois.
Alerte instantanement par Teams ou email des qu'une nouvelle exigence RTS est publiee par les ESAs et identifié les contrôles impactes dans votre perimetre.
Produit un dossier d'inspection cryptographiquement scelle, opposable a la CSSF, demontrant la conformité continue article par article.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre infrastructure reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux 7 domaines RTS avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Harmonisation accrue des outils, méthodes, processus et politiques de gestion du risque lié aux TIC

Ils nous font confiance

Avant de discuter