Je dois mettre mon organisation luxembourgeoise en conformité au considérant 59 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 59 DORA — Considérant 59

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 59

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(59)

Étant donné que le présent règlement n’exige pas des entités financières qu’elles couvrent toutes les fonctions critiques ou importantes dans le cadre d’un test unique de pénétration fondé sur la menace, les entités financières devraient être libres de déterminer combien de fonctions critiques ou importantes, et lesquelles, devraient être incluses dans le champ d’application de ce test.

Spécificité Luxembourg

cadre TIBER-LU (CSSF, 2018) et article 26 DORA (UE 2022/2554)

Au Luxembourg, la CSSF est l'autorité competente pour superviser les tests TLPT au titre de l'article 26 DORA, en coordination avec la BCL pour les acteurs systemiques. La place financiere luxembourgeoise applique deja le cadre TIBER-LU depuis 2018, dont la CSSF a confirme la convergence avec les RTS TLPT DORA : les entités deja testees sous TIBER-LU beneficient d'une reconnaissance partielle, mais doivent démontrer la couverture pluriannuelle de l'intégralité de leurs fonctions critiques.

Pratique Luxgap : pour les banques privées, fonds et PSF luxembourgeois, nous recommandons de soumettre la matrice de scope TLPT au TIBER Cyber Team de la CSSF en amont, idéalement 6 mois avant la phase Red Team, pour eviter une requalification de scope en cours de test.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant ouvre une marge de manoeuvre, mais la CSSF sanctionné ceux qui en abusent. Choisir une seule fonction critique peu sensible pour cocher la case TLPT, c'est l'erreur typique : le superviseur attend une rotation pluriannuelle qui couvre, sur 3 ans, l'ensemble du portefeuille de fonctions critiques. Un scope artificiellement restreint, sans justification documentee du risque, est requalifie en non-conformite a l'article 26 DORA.

Comment construire un scope TLPT defendable

Cartographier toutes les fonctions critiques ou importantes au sens de l'article 3(22) DORA avant tout choix de scope.
Scorer chaque fonction sur un triptyque risque (criticite metier, exposition cyber, dependance TIC tierce) pour prioriser de manière objective.
Documenter explicitement les fonctions exclues du test en cours et la raison (deja testees l'an dernier, refonte en cours, faible exposition externe).
Planifier une rotation pluriannuelle sur 3 ans pour couvrir l'intégralité du périmètre critique, conformément aux RTS TIBER-EU.
Faire valider le scope par l'organe de direction (article 5 DORA) AVANT de lancer la phase Threat Intelligence.
Conserver les minutes de comite et la matrice de scoring : c'est cela que la CSSF demandera en premier lors d'un contrôle.

Comment Luxgap automatise ce risque

Notre Luxgap TLPT Scope Architect transforme la décision discretionnaire de scope en matrice de risque opposable, signee par l'organe de direction et alignee sur les attentes CSSF. L'outil ingere votre registre des fonctions critiques (article 8 DORA), votre registre des prestataires tiers TIC, vos incidents passes (ServiceNow, Jira) et votre threat intel (MISP, anomali, flux ENISA) pour calculer un score d'exposition par fonction, puis proposer un plan de rotation TLPT pluriannuel pret a defendre.

Calcule automatiquement un score d'exposition cyber pour chaque fonction critique en croisant criticite metier, dependances Azure/AWS/eBRC et historique d'incidents declares au CSSF.
Propose un scope TLPT optimal annee par annee sur 3 ans, garantissant la couverture integrale du périmètre critique exigee par les RTS TLPT.
Genere les justifications d'exclusion documentees pour chaque fonction critique non incluse dans le test en cours, opposables a la CSSF.
Produit le dossier de validation pret a soumettre a l'organe de direction, avec matrice de scoring, planning pluriannuel et budget prévisionnel.
Alerte en temps reel quand un changement majeur (nouveau prestataire critique, incident grave, refonte SI) doit déclencher une revision du scope TLPT en cours.
Edite un rapport PDF horodate cryptographiquement scelle, opposable a la CSSF et aux ESAs lors d'un contrôle de conformité TLPT.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre registre de fonctions critiques reel, avec un audit blanc gratuit sous 48h pour évaluer la defendabilite de votre scope TLPT actuel avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 59

Ils nous font confiance

Avant de discuter