Je dois mettre mon organisation luxembourgeoise en conformité au considérant 56 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 56 eclaire l'article 24 et suivants : la CSSF lit le principe de proportionnalite à travers ce considérant pour exiger une batterie graduee de tests, pas un simple scan annuel. Les entités financieres luxembourgeoises se font epingler quand elles confondent vulnerability scan et programme de tests : la CSSF attend une cartographie demontrant pourquoi vous faites tel test (scan, gap analysis, code review, scenario-based, end-to-end) sur tel actif, a quelle fréquence et avec quelle remédiation. L'absence de cette justification documentee transforme un contrôle CSSF en non-conformite article 24.Le spectre complet des tests attendus par la CSSFLe considérant 56 enumere explicitement les outils a mobiliser. Votre programme annuel doit pouvoir montrer une trace pour chaque famille :Vulnerability assessments and scans sur tous les actifs TIC critiques, fréquence trimestrielle minimum.Open source analyses (OSINT) sur votre exposition externe, marque, fuites de credentials.Network security assessments incluant segmentation, règles firewall, exposition cloud.Gap analyses contre un référentiel (ISO 27001, NIST CSF, CSSF 20/750).Physical security reviews des sites hebergeant les TIC (datacenters, salles serveurs Kahler/Bissen/Contern).Source code reviews pour les développements internes critiques.Scenario-based, compatibility, performance, end-to-end testing pour valider la chaîne complète sous stress.TLPT (TIBER-LU) uniquement pour les entités matures et systemiques désignées.La gradation TLPT : qui est concerne ?Le considérant 56 est clair : le TLPT ne s'impose que aux entités ICT-mature et systemiques. En pratique au Luxembourg : grandes banques de la Place (BIL, BGL BNP Paribas, Spuerkeess, BCEE, Banque de Luxembourg), Clearstream, LuxCSD, Bourse de Luxembourg, gros PSP. Les gestionnaires d'actifs (AIFM, ManCo OPCVM) et les agences de notation sont explicitement désignés comme moins pertinents pour le TLPT, mais ils restent soumis au socle de tests de base. Ne sur-investissez pas dans un TLPT si vous êtes une ManCo de 40 personnes : la CSSF attend un programme proportionné, pas un red team a 250 kEUR.Comment Luxgap automatise ce risqueNotre Luxgap Résilience Test Orchestrator transforme l'obligation floue de "tests réguliers et proportionnés" en un plan annuel opposable a la CSSF, qui démontré que chaque famille de tests du considérant 56 est couverte sur le bon actif a la bonne fréquence. L'outil cartographie vos actifs TIC critiques depuis votre CMDB (ServiceNow, Jira Service Management, BMC Helix), croise avec votre registre d'information DORA et genere automatiquement la matrice actif x type de test x fréquence x dernier résultat exigee lors d'un contrôle CSSF.Detecte automatiquement vos actifs TIC critiques en se connectant a Microsoft Defender, CrowdStrike Falcon, Qualys, Tenable, Wazuh et Azure Sentinel, sans saisie manuelle.Classifie chaque entité selon la grille DORA (mature/non-mature, systemique/non-systemiq...

Considérant 56 DORA — Considérant 56

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 56

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(56)

Dans le but d’assurer un niveau élevé de résilience opérationnelle numérique, et conformément aux normes internationales pertinentes (par exemple, les éléments fondamentaux du G7 concernant les tests de pénétration fondés sur la menace) ainsi qu’aux cadres appliqués dans l’Union, tels que le TIBER-EU, les entités financières devraient tester régulièrement leurs systèmes de TIC et leur personnel ayant des responsabilités liées aux TIC pour évaluer l’efficacité de leurs capacités de prévention, de détection, de réponse et de rétablissement, afin de repérer les vulnérabilités potentielles des TIC et d’y remédier. Afin de tenir compte des différences qui existent entre les divers sous-secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de préparation des entités financières à la cybersécurité, les tests devraient comprendre un large éventail d’outils et d’actions, allant de l’évaluation des exigences de base (par exemple, évaluations et analyses de la vulnérabilité, analyses de sources ouvertes, évaluations de la sécurité des réseaux, analyses des lacunes, examens de la sécurité physique, questionnaires et solutions logicielles d’analyse, examens du code source lorsque cela est possible, tests fondés sur des scénarios, tests de compatibilité, tests de performance ou tests de bout en bout) à des tests plus avancés au moyen de tests de pénétration fondés sur la menace. Ces tests avancés ne devraient être requis que pour les entités financières qui sont suffisamment matures du point de vue des TIC pour raisonnablement effectuer de tels tests. Les tests de résilience opérationnelle numérique requis par le présent règlement devraient donc être plus exigeants pour les entités financières remplissant les critères énoncés dans le présent règlement (par exemple, les grands établissements de crédit systémiques et matures du point de vue des TIC, les bourses, les dépositaires centraux de titres et les contreparties centrales) que pour les autres entités financières. Dans le même temps, les tests de résilience opérationnelle numérique effectués au moyen de tests de pénétration fondés sur la menace devraient être plus pertinents pour les entités financières qui exercent des activités dans les sous-secteurs essentiels des services financiers et qui jouent un rôle systémique(par exemple, les paiements, les services bancaires et les services de compensation et de règlement), et moins pertinents pour d’autres sous-secteurs (par exemple, les gestionnaires d’actifs et les agences de notation de crédit).

Spécificité Luxembourg

Reglement (UE) 2022/2554 (DORA), FAQ CSSF DORA, circulaires CSSF 24/847 et 22/806, cadre TIBER-LU

Au Luxembourg, la CSSF est l'autorité competente pour DORA et a publie une FAQ DORA régulièrement mise à jour, ainsi qu'une communication dediee a TIBER-LU (cadre national derive de TIBER-EU). La circulaire CSSF 24/847 sur la notification des incidents TIC et la circulaire CSSF 22/806 sur l'outsourcing TIC (toujours applicables en complement) precisent les attentes locales sur la maturite TIC et la désignation des entités soumises au TLPT. La BCL co-opere avec la CSSF pour TIBER-LU sur les infrastructures de marché (Clearstream, LuxCSD).

Pratique Luxgap : pour les ManCo, AIFM et PSF de support, ne projetez pas un TLPT sur votre roadmap 2025 : la CSSF ne vous designera vraisemblablement pas. Concentrez le budget sur les 7 autres familles de tests du considérant 56, et documentez la non-applicabilite du TLPT dans votre politique de tests pour anticiper toute question d'inspection.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 56 eclaire l'article 24 et suivants : la CSSF lit le principe de proportionnalite à travers ce considérant pour exiger une batterie graduee de tests, pas un simple scan annuel. Les entités financieres luxembourgeoises se font epingler quand elles confondent vulnerability scan et programme de tests : la CSSF attend une cartographie demontrant pourquoi vous faites tel test (scan, gap analysis, code review, scenario-based, end-to-end) sur tel actif, a quelle fréquence et avec quelle remédiation. L'absence de cette justification documentee transforme un contrôle CSSF en non-conformite article 24.

Le spectre complet des tests attendus par la CSSF

Le considérant 56 enumere explicitement les outils a mobiliser. Votre programme annuel doit pouvoir montrer une trace pour chaque famille :

Vulnerability assessments and scans sur tous les actifs TIC critiques, fréquence trimestrielle minimum.
Open source analyses (OSINT) sur votre exposition externe, marque, fuites de credentials.
Network security assessments incluant segmentation, règles firewall, exposition cloud.
Gap analyses contre un référentiel (ISO 27001, NIST CSF, CSSF 20/750).
Physical security reviews des sites hebergeant les TIC (datacenters, salles serveurs Kahler/Bissen/Contern).
Source code reviews pour les développements internes critiques.
Scenario-based, compatibility, performance, end-to-end testing pour valider la chaîne complète sous stress.
TLPT (TIBER-LU) uniquement pour les entités matures et systemiques désignées.

La gradation TLPT : qui est concerne ?

Le considérant 56 est clair : le TLPT ne s'impose que aux entités ICT-mature et systemiques. En pratique au Luxembourg : grandes banques de la Place (BIL, BGL BNP Paribas, Spuerkeess, BCEE, Banque de Luxembourg), Clearstream, LuxCSD, Bourse de Luxembourg, gros PSP. Les gestionnaires d'actifs (AIFM, ManCo OPCVM) et les agences de notation sont explicitement désignés comme moins pertinents pour le TLPT, mais ils restent soumis au socle de tests de base. Ne sur-investissez pas dans un TLPT si vous êtes une ManCo de 40 personnes : la CSSF attend un programme proportionné, pas un red team a 250 kEUR.

Comment Luxgap automatise ce risque

Notre Luxgap Résilience Test Orchestrator transforme l'obligation floue de "tests réguliers et proportionnés" en un plan annuel opposable a la CSSF, qui démontré que chaque famille de tests du considérant 56 est couverte sur le bon actif a la bonne fréquence. L'outil cartographie vos actifs TIC critiques depuis votre CMDB (ServiceNow, Jira Service Management, BMC Helix), croise avec votre registre d'information DORA et genere automatiquement la matrice actif x type de test x fréquence x dernier résultat exigee lors d'un contrôle CSSF.

Detecte automatiquement vos actifs TIC critiques en se connectant a Microsoft Defender, CrowdStrike Falcon, Qualys, Tenable, Wazuh et Azure Sentinel, sans saisie manuelle.
Classifie chaque entité selon la grille DORA (mature/non-mature, systemique/non-systemique) pour determiner si le TLPT TIBER-LU s'applique ou si le socle de base suffit.
Genere le plan annuel de tests couvrant les 8 familles du considérant 56 (scan, OSINT, network, gap, physique, code, scénario, end-to-end) avec fréquences calees sur le risque reel.
Alerte en temps reel quand un actif critique n'a pas ete teste dans la fenetre prévue, via Teams ou Slack, avant que la CSSF ne le remarque.
Produit un rapport PDF horodate signe cryptographiquement, opposable a la CSSF lors d'une mission de surveillance article 24, demontrant la proportionnalite du programme.
Pre-cadre votre dossier TLPT TIBER-LU si vous êtes désigné : scope, threat intelligence providers agréés, red team providers certifies, deroule sur 12 semaines.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h qui materialise les familles de tests manquantes dans votre programme actuel.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 56

Ils nous font confiance

Avant de discuter