Je dois mettre mon organisation luxembourgeoise en conformité au considérant 58 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 58 DORA — Considérant 58

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 58

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(58)

Afin de tirer parti de l’expertise déjà acquise par certaines autorités compétentes, en particulier en ce qui concerne la mise en œuvre du cadre TIBER-EU, le présent règlement devrait permettre aux États membres de désigner une autorité publique unique comme responsable dans le secteur financier, au niveau national, de toutes les questions relatives aux tests de pénétration fondés sur la menace, ou aux autorités compétentes de déléguer, en l’absence d’une telle désignation, la réalisation des tâches liées à ces tests à une autre autorité financière nationale compétente.

Spécificité Luxembourg

loi luxembourgeoise du 1er juin 2023 portant mise en oeuvre du reglement DORA et circulaire CSSF 24/847

Au Luxembourg, la CSSF est l'autorité competente pour DORA dans le secteur financier et hébergé le TLPT Cyber Team national qui pilote la mise en œuvre du cadre TIBER-LU, decline de TIBER-EU. La loi du 1er juin 2023 portant sur les mesures de mise en œuvre du règlement DORA et la circulaire CSSF 24/847 sur la gestion des risques TIC precisent le périmètre des entités concernees et le regime de reporting incident, sans toutefois désigner une autorité alternative pour les TLPT : la CSSF concentre le sujet.

Pratique Luxgap : avant tout TLPT, nous recommandons une pre-engagement letter a la CSSF six mois en amont, accompagnee du scoping document TIBER-LU et de la liste nominative des prestataires TIC tiers impliques, pour eviter un rejet du périmètre en phase de cadrage.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 58 ouvre la porté a une gouvernance fragmentee des TLPT (Threat-Led Penetration Testing) selon les états membres. Le piège : une entité financiere luxembourgeoise sous mandat CSSF qui opère aussi en Allemagne ou aux Pays-Bas peut se retrouver face a trois autorités TLPT differentes, avec des calendriers, des red teams accreditees et des méthodologies TIBER-EU localement adaptees. Sous-estimer cette dualité d'interlocuteurs conduit a planifier un test sur 6 mois qui derape a 12 mois faute d'alignement des autorités.

Ce que ce considérant change concretement

Identifier très tot qui est l'autorité TLPT désignée dans chaque juridiction ou vous êtes regule (CSSF au Luxembourg, BCE pour les entités significatives, BaFin/Bundesbank en Allemagne, DNB aux Pays-Bas).
Vérifier si votre autorité chef de file accepte le principe de lead authority pour eviter de subir un test par pays.
Cartographier les critical or important functions couvertes par le test, car le périmètre TLPT doit refleter la réalité opérationnelle transfrontalière et non l'organigramme juridique.
Selectionner une red team et un threat intelligence provider accredites compatibles avec TIBER-EU et avec les exigences nationales additionnelles eventuelles.
Anticiper la coordination avec les prestataires TIC tiers (cloud, core banking) dont le scope sera teste : leur consentement contractuel est indispensable.

Comment Luxgap automatise ce risque

Notre Luxgap TLPT Orchestrator elimine l'angle mort de la coordination multi-autorites en transformant la préparation d'un test de penetration fondé sur la menacé en un projet pilote par la donnée plutôt que par PowerPoint. L'outil interroge en continu les registres publics CSSF, BCE, ENISA et le cadre TIBER-EU, croise vos entités légales (extraites de votre RCS, Workday LU et Odoo) avec leurs autorités de tutelle effectives, et reconstitue la carte des interlocuteurs TLPT applicables a votre groupe.

Detecte automatiquement quelle autorité est désignée TLPT pour chaque entité de votre groupe et signale les juridictions ou la désignation est encore en transition.
Classifie vos fonctions critiques selon la grille DORA article 8 en s'appuyant sur vos BIA existants et vos contrats fournisseurs TIC charges depuis SharePoint ou Odoo.
Genere un dossier de scoping TLPT pre-rempli, conforme au gabarit TIBER-EU, pret a soumettre au TLPT Cyber Team de la CSSF.
Alerte en temps reel via Teams ou Slack des qu'une red team accreditee perd sa certification ou qu'un nouveau threat intelligence provider est ajoute au registre ECB.
Calcule un score de readiness TLPT base sur l'historique de vos pentests, vos vulnerabilites Defender ou CrowdStrike non remediees, et la maturite de vos exercices red team internes.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable a la CSSF lors de la phase de cadrage du test.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour mesurer votre readiness TLPT avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 58

Ils nous font confiance

Avant de discuter