Je dois mettre mon organisation luxembourgeoise en conformité au considérant 33 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 33 DORA — Considérant 33

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 33

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(33)

En outre, les doutes quant au type d’informations qui peuvent être partagées avec d’autres acteurs du marché ou avec des autorités non chargées de la surveillance (telles que l’ENISA, à des fins d’analyse, ou Europol, à des fins répressives) aboutissent à la rétention d’informations utiles. Par conséquent, l’étendue et la qualité du partage d’informations demeurent actuellement limitées et fragmentées, puisque les échanges pertinents se font principalement au niveau local (dans le cadre d’initiatives nationales) et qu’il n’existe aucun dispositif cohérent de partage d’informations à l’échelle de l’Union adapté aux besoins d’un système financier intégré. Il importe donc de renforcer ces canaux de communication.

Spécificité Luxembourg

loi du 1er aout 2024 portant mise en oeuvre du reglement (UE) 2022/2554 (DORA) et circulaire CSSF 22/806

Au Luxembourg, la CSSF encadre le partagé d'informations cyber via la circulaire CSSF 22/806 sur l'externalisation TIC et le cadre TIBER-LU pour les tests de penetration based-intelligence. La loi du 1er aout 2024 portant mise en œuvre du règlement DORA précisé que le partagé avec des pairs ne constitue pas une violation du secret professionnel de l'article 41 de la loi du 5 avril 1993 sur le secteur financier, des lors qu'il est realise dans le cadre formalise de l'article 45 DORA.

Pratique Luxgap : nous cartographions votre matrice de partagé avec la CSSF, la BCL, le CERT.LU, le HCPN et les communautes sectorielles (ABBL, ALFI, FS-ISAC), et nous documentons l'articulation avec l'article 41 LSF pour sécuriser chaque flux en cas de contrôle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 33 eclaire l'article 45 du DORA sur les accords de partagé d'informations entre entités financieres. En pratique, la CSSF constate que les banques et fintechs luxembourgeoises retiennent les indicateurs de compromission (IoC) par crainte juridique : RGPD, secret bancaire article 41 LSF, concurrence. Résultat, un même groupe d'attaquants frappe successivement plusieurs acteurs de la Place sans qu'aucun partagé n'ait lieu. Le legislateur européen veut casser ce silo en securisant juridiquement les échanges avec l'ENISA, Europol, et les pairs sectoriels.

Ce que ce considérant change concretement

Il légitime le partagé d'IoC, TTPs et signaux faibles avec d'autres entités financieres, même concurrentes, sans craindre une violation du secret bancaire ou du RGPD (base légale article 6(1)(f) renforcee par l'intérêt public DORA).
Il distingue les destinataires : autorités de surveillance (CSSF, BCE), autorités non-surveillance a finalité analytique (ENISA), autorités repressives (Europol, Police Grand-Ducale section cybercriminalite).
Il impose de structurer les canaux de communication, donc d'avoir une procédure ecrite qui qualifié chaque flux sortant : quoi, vers qui, sous quelle base, avec quelle anonymisation.
Il prefigure les Threat Intelligence Sharing Communities sectorielles que la CSSF encourage via sa circulaire 22/806 et le cadre TIBER-LU.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Intel Exchange transforme votre SOC en noeud de partagé qualifié qui sait quoi envoyer, a qui, et sous quelle base juridique, sans jamais exposer une donnée sensible par accident. L'outil s'interface avec Microsoft Sentinel, CrowdStrike Falcon, Wazuh et MISP pour aspirer vos IoC en temps reel, les anonymiser selon le profil du destinataire (ENISA, Europol, pairs sectoriels CSSF, FS-ISAC) et generer la trace juridique opposable.

Classifie automatiquement chaque IoC selon le TLP (White, Green, Amber, Red) et determine les destinataires autorises en fonction de votre matrice DORA article 45.
Anonymise les données personnelles et le secret bancaire avant emission, en appliquant les techniques recommandees par l'ENISA (hashing, generalisation, k-anonymity).
Genere la base légale ecrite pour chaque partagé (intérêt légitime DORA article 45, obligation légale, finalité analytique ENISA) horodatee et signee cryptographiquement.
Alerte le DPO et le CISO en temps reel des qu'un partagé sort du cadre defini, avec blocage automatique si le TLP est incompatible.
Produit un registre des échanges opposable a la CSSF lors d'un contrôle DORA, demontrant la maturite de votre dispositif article 45.
Se connecte nativement aux communautes TIBER-LU, FS-ISAC Europe et MISP-LU pour la diffusion sectorielle.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux SOC reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 33

Ils nous font confiance

Avant de discuter