Je dois mettre mon organisation luxembourgeoise en conformité au considérant 60 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 60 autorise les tests groupes (pooled testing) mais sous conditions strictes. En pratique, les entités financieres luxembourgeoises mutualisees sur un même prestataire critique (typiquement un cloud hyperscaler ou un fournisseur core banking) se ruent vers le test groupe pour partager les couts, sans désigner formellement l'entité pilote, sans calibrer le nombre de participants, et sans documenter pourquoi un TLPT individuel aurait degrade la qualité du service. La CSSF, en tant qu'autorité TLPT au Luxembourg sous le framework TIBER-LU, refuse alors le scope groupe et impose la reprise en mode individuel, avec retard de plusieurs mois sur le cycle triennal.Les 4 conditions cumulatives a documenter avant de demander un test groupeJustification de l'impact adverse : démontrer par ecrit que un TLPT individuel impacterait raisonnablement la qualité, la sécurité ou la confidentialité des services rendus par le prestataire TIC a ses autres clients hors scope DORA (autres secteurs, juridictions tierces).Désignation d'une entité pilote : une seule entité financiere assume la direction opérationnelle du test, porté la relation avec le testeur externe et la CSSF, et centralise la blue team et la white team coordonnees.Calibration du nombre de participants : justifier que le nombre d'entités participantes reste compatible avec la rigueur du test (ni dilution des scénarios, ni perte de granularite sur les flags individuels).Couverture des objectifs TLPT pour chaque participant : chaque entité financiere doit retrouver dans le scope groupe ses propres fonctions critiques ou importantes, ses propres threat intelligence scénarios, et ses propres preuves de remédiation.Le piège contractuel avec le testeur externeLe considérant 60 autorise le prestataire TIC a conclure directement le contrat avec le testeur externe. Cette derogation au schema standard (ou chaque entité financiere contracte son propre testeur) cree un trou d'audit : si le contrat testeur-prestataire ne reflete pas les exigences RTS TLPT (qualifications testeur, gestion des vulnerabilites decouvertes, conservation des preuves), les entités financieres participantes restent responsables vis-a-vis de la CSSF sans avoir signe le contrat. Une clause de flow-down tripartite est indispensable.Comment Luxgap automatise ce risqueNotre Luxgap Pooled TLPT Orchestrator transforme la coordination chaotique d'un test groupe DORA en dossier d'eligibilite preconstitue pour la CSSF. L'outil agrege en temps reel les registres d'information DORA des entités participantes, croise leurs cartographies de fonctions critiques avec le périmètre du prestataire TIC commun, et genere automatiquement le dossier de justification d'impact adverse exige par le considérant 60.Detecte les concentrations sur prestataires TIC partagés entre plusieurs entités financieres LU via croisement des registres d'information article 28(3) et alerte des qu'un test groupe devient eligible.Calcule un score d'e...

Considérant 60 DORA — Considérant 60

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 60

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(60)

Les tests groupés au sens du présent règlement, dans le cadre desquels plusieurs entités financières participent à un test de pénétration fondé sur la menace et un prestataire tiers de services TIC peut conclure des accords contractuels directement avec un testeur externe, ne devraient être autorisés que lorsque l’on peut raisonnablement s’attendre à ce que la qualité ou la sécurité des services fournis par le prestataire tiers de services TIC à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement ou la confidentialité des données relatives à de tels services subissent une incidence négative. Les tests groupés devraient également être soumis à des garanties (direction par une entité financière désignée, précision du nombre d’entités financières participantes) afin de veiller à ce que l’exercice de test soit rigoureux pour les entités financières participantes qui satisfont aux objectifs du test de pénétration fondé sur la menace conformément au présent règlement.

Spécificité Luxembourg

circulaire CSSF 24/847 et reglement CSSF 20-09 sur l'externalisation TIC, framework TIBER-LU

Au Luxembourg, la CSSF est l'autorité TLPT désignée et opère le framework TIBER-LU, decline national de TIBER-EU adopte par la BCE. La circulaire CSSF 24/847 sur la gestion des incidents TIC et le règlement CSSF 20-09 sur l'externalisation TIC encadrent la chaîne de responsabilité, y compris pour les tests groupes ou la CSSF exige une notification préalable et la validation du dossier d'eligibilite avant signature du contrat tripartite.

Pratique Luxgap : avant de lancer un pooled TLPT sur un prestataire TIC partagé (typiquement un hyperscaler hébergé a Bissen ou Roost), faites valider par la CSSF la justification d'impact adverse et le mandat de l'entité pilote au moins 90 jours avant le kick-off, et alignez le scope avec les generic threat landscape publies par la BCL et le CERT.LU.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 60 autorise les tests groupes (pooled testing) mais sous conditions strictes. En pratique, les entités financieres luxembourgeoises mutualisees sur un même prestataire critique (typiquement un cloud hyperscaler ou un fournisseur core banking) se ruent vers le test groupe pour partager les couts, sans désigner formellement l'entité pilote, sans calibrer le nombre de participants, et sans documenter pourquoi un TLPT individuel aurait degrade la qualité du service. La CSSF, en tant qu'autorité TLPT au Luxembourg sous le framework TIBER-LU, refuse alors le scope groupe et impose la reprise en mode individuel, avec retard de plusieurs mois sur le cycle triennal.

Les 4 conditions cumulatives a documenter avant de demander un test groupe

Justification de l'impact adverse : démontrer par ecrit que un TLPT individuel impacterait raisonnablement la qualité, la sécurité ou la confidentialité des services rendus par le prestataire TIC a ses autres clients hors scope DORA (autres secteurs, juridictions tierces).
Désignation d'une entité pilote : une seule entité financiere assume la direction opérationnelle du test, porté la relation avec le testeur externe et la CSSF, et centralise la blue team et la white team coordonnees.
Calibration du nombre de participants : justifier que le nombre d'entités participantes reste compatible avec la rigueur du test (ni dilution des scénarios, ni perte de granularite sur les flags individuels).
Couverture des objectifs TLPT pour chaque participant : chaque entité financiere doit retrouver dans le scope groupe ses propres fonctions critiques ou importantes, ses propres threat intelligence scénarios, et ses propres preuves de remédiation.

Le piège contractuel avec le testeur externe

Le considérant 60 autorise le prestataire TIC a conclure directement le contrat avec le testeur externe. Cette derogation au schema standard (ou chaque entité financiere contracte son propre testeur) cree un trou d'audit : si le contrat testeur-prestataire ne reflete pas les exigences RTS TLPT (qualifications testeur, gestion des vulnerabilites decouvertes, conservation des preuves), les entités financieres participantes restent responsables vis-a-vis de la CSSF sans avoir signe le contrat. Une clause de flow-down tripartite est indispensable.

Comment Luxgap automatise ce risque

Notre Luxgap Pooled TLPT Orchestrator transforme la coordination chaotique d'un test groupe DORA en dossier d'eligibilite preconstitue pour la CSSF. L'outil agrege en temps reel les registres d'information DORA des entités participantes, croise leurs cartographies de fonctions critiques avec le périmètre du prestataire TIC commun, et genere automatiquement le dossier de justification d'impact adverse exige par le considérant 60.

Detecte les concentrations sur prestataires TIC partagés entre plusieurs entités financieres LU via croisement des registres d'information article 28(3) et alerte des qu'un test groupe devient eligible.
Calcule un score d'eligibilite pooled testing base sur la criticite partagée, le nombre optimal de participants et le risque d'impact sur les clients hors scope DORA du prestataire.
Genere le dossier de justification CSSF prerempli, opposable, demontrant que le TLPT individuel aurait raisonnablement degrade le service rendu aux autres clients.
Produit le mandat de l'entité pilote désignée, le scoping document consolide et la matrice RACI white team / blue team / red team aligne TIBER-LU.
Vérifié la conformité du contrat tripartite prestataire TIC - testeur externe - entités financieres aux RTS TLPT et signale les clauses manquantes (qualifications testeur, responsible disclosure, conservation preuves 5 ans).
Suit le cycle triennal de chaque participant et alerte sur les desynchronisations qui rendraient le prochain test groupe non eligible.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos prestataires TIC partagés reels, avec un audit blanc gratuit sous 48h pour mesurer votre eligibilite au test groupe avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 60

Ils nous font confiance

Avant de discuter