Je dois mettre mon organisation luxembourgeoise en conformité au considérant 18 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueBeaucoup d'entités financieres luxembourgeoises pensent que DORA et NIS 2 sont deux univers etanches : DORA pour la CSSF, NIS 2 pour les autres. Le considérant 18 dit l'inverse : les entités financieres restent dans l'écosystème NIS 2 (groupe de cooperation, CSIRT), et la CSSF doit cooperer avec le CSIRT national luxembourgeois (CIRCL / GOVCERT.LU). Le piège en pratique : déclarer un incident majeur a la CSSF sans avoir alerte le CSIRT, ou recevoir une alerte CIRCL sur une menacé sectorielle et ne pas l'intégrer dans son dispositif TIC parce que le DSI considéré que ce n'est pas notre canal officiel.Ce que ce considérant change concretement pour une entité reguilee CSSFVos procédures de notification d'incident TIC (art. 17 a 23 DORA) doivent intégrer un canal vers le CSIRT pertinent, pas seulement vers la CSSF.Vos sources de threat intelligence doivent inclure les bulletins CIRCL/GOVCERT.LU et les alertes du groupe de cooperation NIS 2, et pas uniquement les FS-ISAC ou flux commerciaux.Vos accords de cooperation (ex : avec un prestataire TIC critique partagé avec le secteur energie) doivent prévoir le partagé d'IoC inter-sectoriel.Vos exercices TLPT (art. 26 DORA) gagnent a intégrer les scénarios issus du retour d'expérience NIS 2 (secteur energie, santé, transport) car les attaquants reutilisent leurs TTP d'un secteur a l'autre.Votre cartographie de dependances doit identifier les FSP TIC critiques qui servent aussi des entités NIS 2, car un incident chez eux declenchera une coordination CSSF+ILR+CSIRT.Comment Luxgap automatise ce risqueNotre Luxgap Cross-Sector Threat Bridge elimine l'angle mort entre votre dispositif DORA et l'écosystème NIS 2 en agregeant, correlant et routant automatiquement les signaux de menacé entre les deux univers réglementaires. L'outil ingere en temps reel les bulletins CIRCL, GOVCERT.LU, ENISA, FS-ISAC et les alertes du groupe de cooperation NIS 2, puis les correle avec votre stack reelle (Microsoft Defender, Sentinel, CrowdStrike, votre CMDB) pour ne remonter que les menacés qui vous concernent vraiment.Detecte en continu les nouveaux IoC publies par CIRCL et GOVCERT.LU et les pousse automatiquement vers votre SIEM (Sentinel, Splunk, Wazuh) via API sans intervention manuelle.Identifié quand un incident sectoriel NIS 2 (energie, santé, transport) touche un FSP TIC que vous partagez, et déclenche une alerte Teams ou Slack au RSSI dans les 5 minutes.Genere automatiquement le double routage de notification d'incident majeur : dossier CSSF au format eDesk et notification parallele au CSIRT competent, horodates et traces.Cartographie vos dependances TIC critiques et signale celles qui sont aussi utilisees par des entités essentielles NIS 2, pour anticiper les coordinations multi-autorites.Produit un rapport trimestriel opposable demontrant a la CSSF que vous participez activement a l'écosystème intersectoriel voulu par le considérant 18.Intègre les retours d'expérience TLPT et exercices NIS 2 dans une...

Considérant 18 DORA — Considérant 18

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 18

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(18)

Afin de favoriser l’apprentissage intersectoriel et de tirer efficacement parti des expériences d’autres secteurs en matière de lutte contre les cybermenaces, les entités financières visées dans la directive (UE) 2022/2555 devraient continuer à faire partie de l’«écosystème» de ladite directive (par exemple, le groupe de coopération et les centres de réponse aux incidents de sécurité informatique (CSIRT)]. Les AES et les autorités nationales compétentes devraient pouvoir participer aux discussions stratégiques et aux travaux techniques du groupe de coopération relevant de ladite directive, et échanger des informations et coopérer davantage avec les points de contact uniques désignés ou établis conformément à ladite directive. Les autorités compétentes au titre du présent règlement devraient également consulter les CSIRT et coopérer avec ceux-ci. Les autorités compétentes devraient aussi pouvoir demander des conseils techniques aux autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555 et établir des accords de coopération visant à assurer la mise en place de mécanismes de coordination efficaces et rapides.

Spécificité Luxembourg

loi luxembourgeoise du 30 juillet 2024 portant transposition de la directive (UE) 2022/2555 (NIS 2)

Au Luxembourg, le CSIRT national pertinent pour le secteur financier est CIRCL (Computer Incident Response Center Luxembourg), avec GOVCERT.LU pour les entités du secteur public et certaines OIV. La loi du 30 juillet 2024 transposant la directive NIS 2 confie a l'ILR le rôle d'autorité competente NIS 2 generale, mais désigné la CSSF comme autorité sectorielle pour les entités financieres. Concretement, une banque ou un PSF doit articuler ses notifications entre CSSF (canal eDesk) et CIRCL (canal MISP/email chiffre), et participer aux travaux du groupe de cooperation national pilote par le Haut-Commissariat a la Protection nationale (HCPN).

Pratique Luxgap : nous configurons le double routage CSSF+CIRCL dans vos playbooks d'incident, et nous abonnons votre SOC aux flux MISP de CIRCL des la phase de cadrage pour materialiser l'appartenance a l'écosystème intersectoriel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'entités financieres luxembourgeoises pensent que DORA et NIS 2 sont deux univers etanches : DORA pour la CSSF, NIS 2 pour les autres. Le considérant 18 dit l'inverse : les entités financieres restent dans l'écosystème NIS 2 (groupe de cooperation, CSIRT), et la CSSF doit cooperer avec le CSIRT national luxembourgeois (CIRCL / GOVCERT.LU). Le piège en pratique : déclarer un incident majeur a la CSSF sans avoir alerte le CSIRT, ou recevoir une alerte CIRCL sur une menacé sectorielle et ne pas l'intégrer dans son dispositif TIC parce que le DSI considéré que ce n'est pas notre canal officiel.

Ce que ce considérant change concretement pour une entité reguilee CSSF

Vos procédures de notification d'incident TIC (art. 17 a 23 DORA) doivent intégrer un canal vers le CSIRT pertinent, pas seulement vers la CSSF.
Vos sources de threat intelligence doivent inclure les bulletins CIRCL/GOVCERT.LU et les alertes du groupe de cooperation NIS 2, et pas uniquement les FS-ISAC ou flux commerciaux.
Vos accords de cooperation (ex : avec un prestataire TIC critique partagé avec le secteur energie) doivent prévoir le partagé d'IoC inter-sectoriel.
Vos exercices TLPT (art. 26 DORA) gagnent a intégrer les scénarios issus du retour d'expérience NIS 2 (secteur energie, santé, transport) car les attaquants reutilisent leurs TTP d'un secteur a l'autre.
Votre cartographie de dependances doit identifier les FSP TIC critiques qui servent aussi des entités NIS 2, car un incident chez eux declenchera une coordination CSSF+ILR+CSIRT.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Sector Threat Bridge elimine l'angle mort entre votre dispositif DORA et l'écosystème NIS 2 en agregeant, correlant et routant automatiquement les signaux de menacé entre les deux univers réglementaires. L'outil ingere en temps reel les bulletins CIRCL, GOVCERT.LU, ENISA, FS-ISAC et les alertes du groupe de cooperation NIS 2, puis les correle avec votre stack reelle (Microsoft Defender, Sentinel, CrowdStrike, votre CMDB) pour ne remonter que les menacés qui vous concernent vraiment.

Detecte en continu les nouveaux IoC publies par CIRCL et GOVCERT.LU et les pousse automatiquement vers votre SIEM (Sentinel, Splunk, Wazuh) via API sans intervention manuelle.
Identifié quand un incident sectoriel NIS 2 (energie, santé, transport) touche un FSP TIC que vous partagez, et déclenche une alerte Teams ou Slack au RSSI dans les 5 minutes.
Genere automatiquement le double routage de notification d'incident majeur : dossier CSSF au format eDesk et notification parallele au CSIRT competent, horodates et traces.
Cartographie vos dependances TIC critiques et signale celles qui sont aussi utilisees par des entités essentielles NIS 2, pour anticiper les coordinations multi-autorites.
Produit un rapport trimestriel opposable demontrant a la CSSF que vous participez activement a l'écosystème intersectoriel voulu par le considérant 18.
Intègre les retours d'expérience TLPT et exercices NIS 2 dans une bibliotheque de scénarios reutilisables pour vos tests de résilience opérationnelle.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux de menacé reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition intersectorielle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 18

Ils nous font confiance

Avant de discuter