Je dois mettre mon organisation luxembourgeoise en conformité à l'article 45 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 45

Dispositifs de partage d’informations et de renseignements sur les cybermenaces

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Dispositifs de partage d’informations et de renseignements sur les cybermenaces

1. Les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration, dans la mesure où ce partage d’informations et de renseignements:

vise à améliorer la résilience opérationnelle numérique des entités financières, notamment en les sensibilisant aux cybermenaces, en limitant ou en bloquant la capacité de propagation des cybermenaces, et en soutenant les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation ou les phases de réponse et de rétablissement;

b)	se déroule au sein de communautés d’entités financières de confiance;

repose sur des dispositifs de partage des informations qui protègent la nature potentiellement sensible des informations partagées et qui sont régis par des règles de conduite dans le plein respect de la confidentialité des affaires, de la protection des données à caractère personnel conformément au règlement (UE) 2016/679 et des lignes directrices sur la politique de concurrence.

2. Aux fins du paragraphe 1, point c), les dispositifs de partage d’informations définissent les conditions à respecter pour y participer et, le cas échéant, précisent les modalités de participation des autorités publiques, et en quelle qualité elles peuvent être associées à ces dispositifs, les modalités de la participation des prestataires tiers de services TIC, ainsi que les aspects opérationnels de ce partage, y compris de l’utilisation de plateformes de TIC spécialisées.

3. Les entités financières notifient aux autorités compétentes leur participation aux dispositifs de partage d’informations visés au paragraphe 1 lors de la validation de leur adhésion ou, le cas échéant, la cessation de leur adhésion, lorsque celle-ci prend effet.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement (UE) 2022/2554 et organisation de la CSSF comme autorite competente DORA

Au Luxembourg, la notification d'adhesion ou de cessation a un dispositif de partagé prevue au paragraphe 3 se fait aupres de la CSSF via le portail eDesk, sous le module dedie a la resilience opérationnelle numerique. Le CERT national de référence est CIRCL (Computer Incident Response Center Luxembourg), operateur historique de la plateforme MISP, ce qui fait du Luxembourg un hub naturel pour le partagé d'IoC bancaires européens. La CSSF attend en pratique que la participation a CIRCL MISP, FS-ISAC ou tout ISAC sectoriel soit cartographiee dans le cadre du rapport annuel article 6(5) DORA.

Pratique Luxgap : nous configurons le connecteur CIRCL MISP natif et alignons votre politique TLP sur celle du CIRCL pour eviter les frictions lors des contrôles CSSF, avec pre-remplissage automatique du formulaire eDesk d'adhesion.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 45 est presente comme une faculte (les entités financieres peuvent echanger), mais devient un piège des qu'on y participe : la CSSF sanctionné le defaut de notification d'adhesion ou de cessation, et surtout l'absence de cadre contractuel protegeant les IoC, TTP et alertes partagées. Les contrôles CSSF post-DORA verifient systématiquement la coherence entre votre registre de partagé (FS-ISAC, CIRCL MISP, CERTFin, communautes TIBER) et votre politique interne de classification TLP. Le second piège, plus discret, est le RGPD : partager une adresse IP source, un hash d'email phishing ou un user-agent peut constituer un traitement de données personnelles sans base légale claire si la communaute n'a pas formalise l'intérêt légitime et l'AIPD associee.

Les 4 conditions cumulatives a tracer en permanence

Finalité defensive démontrable : chaque échange doit viser la résilience opérationnelle (détection, mitigation, recuperation), jamais une finalité commerciale ou de benchmarking.
Communaute de confiance : adhesion formalisee (NDA, charte, code de conduite TLP), pas d'échanges ad-hoc sur Signal ou Teams sans cadre.
Protection des données partagées : pseudonymisation des IoC contenant des données personnelles, respect du TLP (Red, Amber, Green, Clear), conformité RGPD article 6(1)(f) avec balance test documente.
Notification CSSF : a l'adhesion ET a la cessation, des prise d'effet, via le canal eDesk approprie.

Le point que les RSSI sous-estiment

La participation a MISP CIRCL ou FS-ISAC implique souvent un partagé automatise via API. Si votre SOC pousse des indicateurs sans filtre, vous pouvez exfiltrer involontairement des données clients (adresses email de victimes internes, noms de fichiers contenant des références projets). La CNPD considéré ce flux comme un transfert necessitant analyse, et la CSSF attend une cartographie précisé des flux sortants de threat intel.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Intel Gatekeeper s'interpose entre votre plateforme de threat intelligence (MISP, OpenCTI, Anomali, ThreatConnect) et les communautes externes (FS-ISAC, CIRCL, CERTFin, ISAC sectoriels) pour rendre techniquement impossible le partagé non conforme. L'outil inspecte chaque IoC sortant en temps reel, detecte les données personnelles residuelles, applique le TLP adequat et tient le registre opposable a la CSSF des adhesions, cessations et échanges effectifs.

Scanne chaque indicateur sortant (IP, domaine, hash, email, URL, user-agent) et detecte automatiquement la presence de données personnelles via regex, NER multilingue et dictionnaires CIRCL.
Applique automatiquement la pseudonymisation ou le blocage selon le TLP source et la communaute destinataire, avec journal cryptographique horodate de chaque décision.
Genere et maintient l'AIPD article 35 RGPD spécifique au partagé de threat intelligence, prete a presenter a la CNPD, avec balance test article 6(1)(f) documente.
Notifié automatiquement la CSSF via template eDesk pre-rempli a chaque adhesion ou cessation de communaute, avec accuse de depot archive.
Detecte les flux automatises API non declares entre votre SOC et l'exterieur (shadow threat intel) en analysant les logs sortants de votre SIEM Sentinel, Splunk ou Wazuh.
Produit un rapport trimestriel opposable demontrant la conformité simultanee DORA article 45 et RGPD, signe electroniquement et archive 10 ans.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent un audit blanc gratuit sous 48h de vos flux de threat intelligence sortants, avec preuve de valeur sur vos données reelles avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Dispositifs de partage d’informations et de renseignements sur les cybermenaces

Ils nous font confiance

Avant de discuter