Je dois mettre mon organisation luxembourgeoise en conformité au considérant 34 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 34 invite les entités financieres a partager du renseignement sur les cybermenaces (IOC, TTP, signatures, retours d'expérience post-incident) entre pairs. Le piège que la CSSF et la CNPD observent : les équipes SOC commencent a echanger sur des canaux informels (Slack inter-banques, mailing-lists ISAC, groupes Telegram CERT) sans base juridique RGPD documentee, sans clause de confidentialité, et sans filtrage des données a caractère personnel. Résultat : un partagé utile sur le plan defensif devient une violation article 6 RGPD et un risque concurrentiel au regard des lignes directrices horizontales de la Commission de 2011.Ce que ce considérant change concretement pour votre conformitéMême si l'article 45 du DORA encadre le dispositif, le considérant 34 fixe l'intention : le partagé doit être volontaire, en environnement de confiance, et compatible avec le RGPD (article 6.1.c, e ou f) et le droit de la concurrence. Operationnellement, cela signifié :Documenter la base légale RGPD avant tout échange (intérêt légitime article 6.1.f avec test de mise en balance, ou obligation légale 6.1.c si vous êtes membre d'un ISAC reconnu).Pseudonymiser les indicateurs avant partagé : un IOC ne doit jamais contenir le nom d'un client, un identifiant bancaire ou une adresse e-mail nominative.Cadrer contractuellement la communaute de partagé (charte ISAC, NDA, règles de TLP : RED, AMBER, GREEN, CLEAR).Tenir un journal des informations partagées et recues, opposable a la CSSF et a la CNPD en cas de contrôle croise.Vérifier que le partagé n'entraine pas d'alignement concurrentiel illicite (tarifs, clients, stratégie commerciale).Comment Luxgap automatise ce risqueNotre Luxgap Threat Intel Exchange Gateway transforme votre participation a un dispositif de partagé de renseignement cyber en flux conforme RGPD et auditable par la CSSF, sans ralentir vos analystes SOC. La passerelle s'intercale entre votre SIEM (Sentinel, Splunk, QRadar, Wazuh) et les communautes de partagé (MISP, FS-ISAC, CERT.lu, CIRCL OSINT feeds) pour filtrer, pseudonymiser et tracer chaque indicateur sortant et entrant en temps reel.Detecte automatiquement les données a caractère personnel residuelles dans un IOC sortant (e-mail, IBAN, nom client, hostname interne) et les masque avant publication vers le ISAC ou MISP.Classifie chaque échange selon le protocole TLP et la base juridique RGPD applicable (6.1.c, 6.1.e ou 6.1.f), avec test d'intérêt légitime preconstruit signe par le DPO.Alerte le RSSI via Teams ou Slack des qu'un partagé envisage depasse le périmètre defensif et entre dans une zone de risque concurrentiel selon la grille horizontale 2011/C 11/01.Produit un journal cryptographiquement scelle de tous les échanges, horodate, opposable a la CSSF au titre de l'article 45 DORA et a la CNPD au titre de l'article 30 RGPD.Genere automatiquement la charte de participation au dispositif de partagé, les clauses TLP, et la mise à jour de votre registre des traite...

Considérant 34 DORA — Considérant 34

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 34

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(34)

Les entités financières devraient être encouragées à échanger entre elles des informations et des renseignements sur les cybermenaces et à exploiter ensemble les connaissances et l’expérience pratique de chacune d’entre elles aux niveaux stratégique, tactique et opérationnel en vue de renforcer leur capacité à évaluer et surveiller de manière adéquate les cybermenaces, ainsi qu’à s’en prémunir et à y répondre, en participant à des dispositifs de partage d’information. Il est donc nécessaire de favoriser l’émergence, au niveau de l’Union, de mécanismes volontaires de partage d’informations qui, employés dans des environnements de confiance, permettraient à la communauté du secteur financier de prévenir les cybermenaces et d’y répondre collectivement en limitant rapidement la propagation du risque lié aux TIC et en empêchant une éventuelle contagion à travers les canaux financiers. Ces mécanismes devraient être conformes aux règles applicables du droit de la concurrence de l’Union énoncées dans la communication de la Commission du 14 janvier 2011 intitulée «Lignes directrices sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale», ainsi qu’avec les règles de l’Union en matière de protection des données, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil (13). Ils devraient fonctionner sur la base du recours à une ou plusieurs des bases juridiques énoncées à l’article 6 dudit règlement, par exemple dans le cadre du traitement de données à caractère personnel qui est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, tel que visé à l’article 6, paragraphe 1, point f), dudit règlement, ainsi que dans le cadre du traitement de données à caractère personnel qui est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, visé à l’article 6, paragraphe 1, points c) et e), respectivement, dudit règlement.

Spécificité Luxembourg

circulaire CSSF 22/806 et loi luxembourgeoise du 1er aout 2018 portant organisation de la Commission nationale pour la protection des donnees

Au Luxembourg, la CSSF reconnait la participation a des dispositifs de partagé cyber via le CERT.lu, la House of Cybersecurity (LHC) et le CIRCL comme bonne pratique au sens de la circulaire CSSF 22/806 sur les arrangements d'externalisation TIC et du cadre DORA. La loi du 1er aout 2018 sur l'organisation de la CNPD et le RGPD s'appliquent intégralement aux données a caractère personnel echangees dans ces communautes : tout incident partagé impliquant un client doit être pseudonymise avant publication.

Pratique Luxgap : connectez votre SIEM aux feeds CIRCL MISP via la passerelle, et faites valider la charte de participation par votre DPO avant le premier échange opérationnel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 34 invite les entités financieres a partager du renseignement sur les cybermenaces (IOC, TTP, signatures, retours d'expérience post-incident) entre pairs. Le piège que la CSSF et la CNPD observent : les équipes SOC commencent a echanger sur des canaux informels (Slack inter-banques, mailing-lists ISAC, groupes Telegram CERT) sans base juridique RGPD documentee, sans clause de confidentialité, et sans filtrage des données a caractère personnel. Résultat : un partagé utile sur le plan defensif devient une violation article 6 RGPD et un risque concurrentiel au regard des lignes directrices horizontales de la Commission de 2011.

Ce que ce considérant change concretement pour votre conformité

Même si l'article 45 du DORA encadre le dispositif, le considérant 34 fixe l'intention : le partagé doit être volontaire, en environnement de confiance, et compatible avec le RGPD (article 6.1.c, e ou f) et le droit de la concurrence. Operationnellement, cela signifié :

Documenter la base légale RGPD avant tout échange (intérêt légitime article 6.1.f avec test de mise en balance, ou obligation légale 6.1.c si vous êtes membre d'un ISAC reconnu).
Pseudonymiser les indicateurs avant partagé : un IOC ne doit jamais contenir le nom d'un client, un identifiant bancaire ou une adresse e-mail nominative.
Cadrer contractuellement la communaute de partagé (charte ISAC, NDA, règles de TLP : RED, AMBER, GREEN, CLEAR).
Tenir un journal des informations partagées et recues, opposable a la CSSF et a la CNPD en cas de contrôle croise.
Vérifier que le partagé n'entraine pas d'alignement concurrentiel illicite (tarifs, clients, stratégie commerciale).

Comment Luxgap automatise ce risque

Notre Luxgap Threat Intel Exchange Gateway transforme votre participation a un dispositif de partagé de renseignement cyber en flux conforme RGPD et auditable par la CSSF, sans ralentir vos analystes SOC. La passerelle s'intercale entre votre SIEM (Sentinel, Splunk, QRadar, Wazuh) et les communautes de partagé (MISP, FS-ISAC, CERT.lu, CIRCL OSINT feeds) pour filtrer, pseudonymiser et tracer chaque indicateur sortant et entrant en temps reel.

Detecte automatiquement les données a caractère personnel residuelles dans un IOC sortant (e-mail, IBAN, nom client, hostname interne) et les masque avant publication vers le ISAC ou MISP.
Classifie chaque échange selon le protocole TLP et la base juridique RGPD applicable (6.1.c, 6.1.e ou 6.1.f), avec test d'intérêt légitime preconstruit signe par le DPO.
Alerte le RSSI via Teams ou Slack des qu'un partagé envisage depasse le périmètre defensif et entre dans une zone de risque concurrentiel selon la grille horizontale 2011/C 11/01.
Produit un journal cryptographiquement scelle de tous les échanges, horodate, opposable a la CSSF au titre de l'article 45 DORA et a la CNPD au titre de l'article 30 RGPD.
Genere automatiquement la charte de participation au dispositif de partagé, les clauses TLP, et la mise à jour de votre registre des traitements article 30.
Scanne retrospectivement vos 12 derniers mois d'échanges Slack, e-mail et MISP pour identifier les partagés historiques non couverts par une base légale.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux MISP reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 34

Ils nous font confiance

Avant de discuter