Retour d’information en matière de surveillance

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

1. Sans préjudice des contributions, avis ou mesures correctives techniques et du suivi correspondant pouvant être fournis, le cas échéant, conformément au droit national, par les CSIRT relevant de la directive (UE) 2022/2555, dès qu’elle reçoit la notification initiale et chaque rapport visé à l’article 19, paragraphe 4, l’autorité compétente en accuse réception et peut, dans la mesure du possible, fournir en temps voulu à l’entité financière un retour d’information pertinent et adapté ou une orientation de haut niveau, notamment en rendant disponibles les informations et renseignements anonymisés pertinents sur des menaces similaires, et peut examiner les mesures correctives appliquées au niveau de l’entité financière et les moyens de réduire au maximum et d’atténuer les effets préjudiciables dans le secteur financier. Sans préjudice du retour d’information reçu en matière de surveillance, les entités financières restent pleinement responsables du traitement et des conséquences des incidents liés aux TIC déclarés conformément à l’article 19, paragraphe 1.

2. Les AES, agissant par l’intermédiaire du comité mixte, présentent chaque année un rapport anonymisé et agrégé sur les incidents majeurs liés aux TIC, dont les détails sont fournis par les autorités compétentes conformément à l’article 19, paragraphe 6, en indiquant au minimum le nombre d’incidents majeurs liés aux TIC, leur nature, leurs répercussions sur les opérations des entités financières ou des clients, les mesures correctives prises et les coûts.

Les AES émettent des avertissements et produisent des statistiques de haut niveau à l’appui des évaluations relatives aux menaces liées aux TIC et à la vulnérabilité des TIC.

Spécificité Luxembourg

circulaire CSSF 24/847 relative aux exigences en matiere de gestion et de notification des incidents lies aux TIC pour les entites financieres surveillees

Au Luxembourg, l'autorité competente DORA est la CSSF (et le CAA pour le secteur assurance), et les notifications transitent par le portail eDesk. La circulaire CSSF 24/847 précisé les modalites pratiques de notification et de dialogue post-incident, et impose une tracabilite des echanges avec le superviseur. Le CSIRT national applicable au titre de la NIS 2 est GOVCERT.LU pour les entités du secteur public élargi et CIRCL pour le secteur privé : un incident DORA peut déclencher en parallele une notification NIS 2 qu'il faut articuler proprement.

Pratique Luxgap : pour chaque incident majeur, nous produisons un Supervisor Engagement File qui consolide notifications eDesk CSSF, echanges CIRCL et décisions internes en un seul dossier opposable, evitant le piège classique de l'entité qui pense être couverte par l'accuse de reception CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 22 est trompeusement rassurant : il prevoit que la CSSF accuse reception et peut fournir un retour d'information apres une notification d'incident. Beaucoup d'entités financieres luxembourgeoises interpretent ce retour comme une forme de quitus implicite. C'est une erreur. Le paragraphe 1 in fine est explicite : l'entité financiere reste pleinement responsable du traitement et des conséquences de l'incident, même si la CSSF a accuse reception, dialogue sur les remediations ou partagé du renseignement sur des menaces similaires. La CSSF sanctionné régulièrement des entités qui ont relache leur vigilance apres un echange juge rassurant avec le superviseur, et qui n'ont pas documente leurs propres décisions de remediation.

Le piège spécifique de l'article 22 : confondre dialogue superviseur et decharge de responsabilité

L'accuse de reception de la CSSF n'est jamais une validation des mesures correctives appliquees par l'entité financiere.
Le retour d'information de haut niveau (high-level guidance) ne constitue pas une instruction contraignante : c'est a l'entité de tracer pourquoi elle l'a suivi ou non.
Les renseignements anonymises sur des menaces similaires partagés par la CSSF doivent être intégrés dans votre threat intelligence interne avec une trace ecrite de l'évaluation.
Le rapport annuel agrege publie par les AES via le Comite mixte alimente les statistiques sectorielles : votre incident y contribue, et un ecart entre vos chiffres declares et la moyenne sectorielle peut déclencher une inspection ciblee.
L'articulation avec le CSIRT NIS 2 (au Luxembourg, le GOVCERT.LU et le CIRCL pour le privé) doit être documentee : qui a ete contacte, dans quel ordre, avec quelles conclusions.
Le dialogue avec la CSSF doit être journalise minute par minute : appels, mails, visioconferences, décisions prises, personnes presentes, c'est cette piste d'audit qui prouve la diligence.

Comment Luxgap automatise ce risque

Notre Luxgap Supervisor Dialogue Vault transforme chaque echange avec la CSSF lié a un incident TIC en piste d'audit cryptographiquement scellee, opposable en cas de contrôle ou de contentieux ulterieur. L'outil capture automatiquement les notifications envoyees via le portail eDesk de la CSSF, les accuses de reception, les emails superviseurs, les comptes-rendus de call, et les correle avec vos décisions internes de remediation pour materialiser noir sur blanc que vous avez decide, pas le superviseur.

Capture automatiquement chaque notification eDesk CSSF, chaque accuse de reception et chaque retour superviseur, avec horodatage qualifié eIDAS et scellement cryptographique.
Correle les renseignements anonymises sur menaces similaires recus de la CSSF avec votre threat intelligence interne (MISP, Microsoft Defender XDR, CrowdStrike Falcon Intelligence) et trace chaque décision d'intégration ou d'ecartement.
Detecte les divergences entre les high-level guidance de la CSSF et vos mesures correctives reelles, et alerte le RSSI sur Teams si une recommandation superviseur n'est pas tracee comme acceptee ou refusee avec motif.
Compare anonymement vos statistiques d'incidents avec les rapports annuels agreges des AES via le Comite mixte, et calcule un score de deviation sectorielle qui anticipe les inspections thematiques.
Documente l'articulation CSSF / CIRCL / GOVCERT.LU pour chaque incident, avec une cartographie chronologique des notifications croisees DORA et NIS 2.
Produit un dossier PDF horodate Supervisor Engagement File par incident, prouvant que l'entité a conserve la maitrise de ses décisions malgre le dialogue superviseur, conformément a l'article 22(1) in fine.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre regule CSSF. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos echanges superviseurs reels, avec un audit blanc gratuit sous 48h pour mesurer la qualite actuelle de votre piste d'audit CSSF avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Retour d’information en matière de surveillance

Ils nous font confiance

Avant de discuter