Je dois mettre mon organisation luxembourgeoise en conformité au considérant 32 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 32 acte une réalité : sans partagé de renseignement cyber entre entités financieres, chaque banque, fintech ou gestionnaire d'actifs reste aveugle face aux mêmes attaquants qui frappent ses pairs. La CSSF lit ce considérant comme une invitation forte a rejoindre les ISACs sectoriels (notamment FS-ISAC) et a contribuer aux dispositifs nationaux type CIRCL. En cas d'incident, l'absence totale de démarché de threat intelligence est un facteur aggravant lors de l'évaluation du cadre de gestion du risque TIC au titre de l'article 6.Ce que ce considérant change concretementLe considérant 32 eclaire l'interprétation des articles 45 a 49 de DORA sur les accords de partagé d'informations. Il faut le lire comme un signal politique : le legislateur leve explicitement les trois freins historiques (RGPD, droit de la concurrence, responsabilité civile) pour encourager le partagé. Concretement, votre cadre de gouvernance TIC doit :Documenter une politique de threat intelligence sharing qui formalise les sources entrantes (ISACs, CSIRT, CERT-EU, CIRCL, vendor feeds) et les canaux sortants autorises.Démontrer une participation active a au moins un dispositif sectoriel (FS-ISAC, TIBER-EU, exercices CSSF).Prévoir la base légale RGPD du partagé (intérêt légitime article 6(1)(f) avec test de mise en balance documente) et l'anonymisation des IOC partagés.Cartographier les exclusions concurrentielles : ce qui est partagé (TTPs, IOC, vulnerabilites) versus ce qui ne l'est pas (parts de marché, données clients).Intégrer les renseignements recus dans les processus de détection (SIEM, EDR) et de patch management, et tracer cette intégration comme preuve d'efficacite.Comment Luxgap automatise ce risqueNotre Luxgap Threat Intel Orchestrator transforme votre obligation de partagé en boucle opérationnelle continue, alors que la plupart des entités financieres luxembourgeoises se contentent d'un abonnement passif a un feed qu'elles ne consomment jamais. L'outil ingere en temps reel les IOC de FS-ISAC, CIRCL MISP, CERT-EU et vos feeds commerciaux, les correle automatiquement avec votre telemetrie Microsoft Defender, Sentinel, CrowdStrike ou Wazuh, et déclenche une alerte Teams des qu'un indicateur matche votre périmètre.Ingere et deduplique les IOC issus de MISP CIRCL, FS-ISAC, CERT-EU et vendor feeds via connecteurs natifs, sans intervention analyste.Correle chaque indicateur entrant avec les logs Defender, Sentinel, CrowdStrike ou Wazuh sur les 90 derniers jours pour détecter les compromissions passees.Anonymise automatiquement les IOC sortants (hash, retrait des champs identifiants internes) avant publication vers les pairs sectoriels, conformément au test de balance RGPD article 6(1)(f).Genere le registre des partagés entrants et sortants horodate, opposable a la CSSF au titre des articles 45 a 49.Produit un tableau de bord trimestriel demontrant la contribution effective de la threat intelligence a la prévention d'incidents, exploitable l...

Considérant 32 DORA — Considérant 32

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 32

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(32)

Face à la complexité et à la sophistication croissantes du risque lié aux TIC, l’efficacité des mesures de détection et de prévention du risque lié aux TIC dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités financières. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces. Cela renforce à son tour la capacité des entités financières à empêcher les cybermenaces de devenir des incidents réels liés aux TIC et leur permet de contenir plus efficacement l’impact des incidents liés aux TIC et de se rétablir plus rapidement. En l’absence d’orientations au niveau de l’Union, plusieurs facteurs semblent avoir entravé ce partage de renseignements, notamment l’incertitude quant à sa compatibilité avec les règles en matière de protection des données, de pratiques anticoncurrentielles et de responsabilité.

Spécificité Luxembourg

loi luxembourgeoise du 1er aout 2024 portant mise en oeuvre de DORA

Au Luxembourg, la CSSF s'appuie sur l'écosystème national de partagé anime par CIRCL (Computer Incident Response Center Luxembourg, operateur de la plateforme MISP de référence en Europe) et participe au dispositif TIBER-LU pour les tests d'intrusion avances. La loi du 1er aout 2024 portant mise en œuvre de DORA désigné la CSSF comme autorité competente et confirme l'articulation avec la loi du 28 juillet 2023 transposant NIS 2 pour les entités financieres egalement qualifiées d'entités essentielles.

Pratique Luxgap : raccordez votre SIEM a l'instance MISP de CIRCL des le premier mois et tracez chaque IOC consomme ou publie ; c'est la preuve la plus simple a presenter en contrôle CSSF pour materialiser votre dispositif de threat intelligence sharing.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 32 acte une réalité : sans partagé de renseignement cyber entre entités financieres, chaque banque, fintech ou gestionnaire d'actifs reste aveugle face aux mêmes attaquants qui frappent ses pairs. La CSSF lit ce considérant comme une invitation forte a rejoindre les ISACs sectoriels (notamment FS-ISAC) et a contribuer aux dispositifs nationaux type CIRCL. En cas d'incident, l'absence totale de démarché de threat intelligence est un facteur aggravant lors de l'évaluation du cadre de gestion du risque TIC au titre de l'article 6.

Ce que ce considérant change concretement

Le considérant 32 eclaire l'interprétation des articles 45 a 49 de DORA sur les accords de partagé d'informations. Il faut le lire comme un signal politique : le legislateur leve explicitement les trois freins historiques (RGPD, droit de la concurrence, responsabilité civile) pour encourager le partagé. Concretement, votre cadre de gouvernance TIC doit :

Documenter une politique de threat intelligence sharing qui formalise les sources entrantes (ISACs, CSIRT, CERT-EU, CIRCL, vendor feeds) et les canaux sortants autorises.
Démontrer une participation active a au moins un dispositif sectoriel (FS-ISAC, TIBER-EU, exercices CSSF).
Prévoir la base légale RGPD du partagé (intérêt légitime article 6(1)(f) avec test de mise en balance documente) et l'anonymisation des IOC partagés.
Cartographier les exclusions concurrentielles : ce qui est partagé (TTPs, IOC, vulnerabilites) versus ce qui ne l'est pas (parts de marché, données clients).
Intégrer les renseignements recus dans les processus de détection (SIEM, EDR) et de patch management, et tracer cette intégration comme preuve d'efficacite.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Intel Orchestrator transforme votre obligation de partagé en boucle opérationnelle continue, alors que la plupart des entités financieres luxembourgeoises se contentent d'un abonnement passif a un feed qu'elles ne consomment jamais. L'outil ingere en temps reel les IOC de FS-ISAC, CIRCL MISP, CERT-EU et vos feeds commerciaux, les correle automatiquement avec votre telemetrie Microsoft Defender, Sentinel, CrowdStrike ou Wazuh, et déclenche une alerte Teams des qu'un indicateur matche votre périmètre.

Ingere et deduplique les IOC issus de MISP CIRCL, FS-ISAC, CERT-EU et vendor feeds via connecteurs natifs, sans intervention analyste.
Correle chaque indicateur entrant avec les logs Defender, Sentinel, CrowdStrike ou Wazuh sur les 90 derniers jours pour détecter les compromissions passees.
Anonymise automatiquement les IOC sortants (hash, retrait des champs identifiants internes) avant publication vers les pairs sectoriels, conformément au test de balance RGPD article 6(1)(f).
Genere le registre des partagés entrants et sortants horodate, opposable a la CSSF au titre des articles 45 a 49.
Produit un tableau de bord trimestriel demontrant la contribution effective de la threat intelligence a la prévention d'incidents, exploitable lors d'un contrôle CSSF.
Alerte le RSSI sur Teams ou Slack des qu'un IOC partagé par un pair correspond a une activité observee sur votre SI.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux SIEM reels, avec un audit blanc gratuit sous 48h pour mesurer la maturite de votre dispositif de threat intelligence avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 32

Ils nous font confiance

Avant de discuter