Je dois mettre mon organisation luxembourgeoise en conformité au considérant 61 du DORA (UE 2022/2554). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 61 ouvre une porté très tentante : utiliser ses propres équipes red team pour réaliser les TLPT et economiser le cout d'un prestataire externe. Mais la CSSF sanctionné en pratique trois derives récurrentes sur ce point : l'absence de demonstration formelle d'absence de conflit d'intérêts entre testeurs internes et équipes de défense, l'oubli de l'alternance obligatoire tous les trois tests, et la confusion entre attestation d'exécution et validation prudentielle du dispositif de gestion du risque TIC. Une attestation TIBER-LU ne vaut jamais quitus prudentiel.Les conditions cumulatives pour mobiliser des testeurs internesAccord préalable et explicite de la CSSF, documente avant le lancement du test, pas a posteriori.Separation organisationnelle stricte entre la red team interne et les équipes blue team / SOC / RSSI : lignes de reporting distinctes, isolation budgetaire, absence de double casquette.Alternance obligatoire : sur trois tests TLPT consecutifs, au moins un doit être conduit par un prestataire externe accredite.Le fournisseur de threat intelligence (TI provider) doit toujours être externe a l'entité financiere, même quand les testeurs sont internes : c'est une règle de separation pure, sans exception.La responsabilité pleine et entière du test reste sur l'entité financiere : pas de transfert vers le testeur interne, pas de dilution dans le groupe.L'attestation finale delivree par l'autorité vaut reconnaissance mutuelle entre états membres, rien de plus : la CSSF garde toute latitude pour exiger des actions correctives ulterieures.Comment Luxgap automatise ce risqueNotre Luxgap TLPT Governance Orchestrator ferme la porté au principal angle mort du considérant 61 : prouver, dossier en main, que vos testeurs internes remplissent toutes les conditions d'eligibilite au moment ou la CSSF vous le demande, et pas trois semaines après. L'outil se connecte a votre Active Directory, votre HRIS (Workday, Sopra HR, Cegid), votre ITSM (ServiceNow, Jira) et votre registre des contrats fournisseurs pour reconstruire automatiquement la cartographie des conflits d'intérêts et l'historique d'alternance test par test.Detecte automatiquement tout chevauchement de rôle entre membres de la red team interne et équipes blue team / SOC / gestion des incidents via croisement AD groups et organigramme HRIS.Calcule en temps reel le compteur d'alternance interne/externe sur les trois derniers TLPT et alerte 6 mois avant l'echeance du prochain test externe obligatoire.Vérifié que le fournisseur de threat intelligence désigné est bien externe et tracable dans votre registre DORA des prestataires TIC, avec rapprochement automatique des contrats.Genere le dossier de demande d'agrement CSSF pre-formate (charte d'independance, mandats, matrice RACI, attestation absence conflit) pret a deposer.Produit un rapport PDF horodate et cryptographiquement scelle, opposable lors d'une inspection CSSF, demontrant le respect cumulatif de l'article 2...

Considérant 61 DORA — Considérant 61

Cadre européenRGPD NIS 2DORAAI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 61

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(61)

Afin de tirer parti des ressources internes disponibles au niveau de l’entreprise, le présent règlement devrait autoriser le recours à des testeurs internes aux fins de la réalisation de tests de pénétration fondés sur la menace, sous réserve de l’accord des autorités de contrôle, de l’absence de conflit d’intérêts et de l’alternance périodique entre le recours à des testeurs internes et à des testeurs externes (tous les trois tests), tout en exigeant que le fournisseur de renseignements sur les menaces dans le test soit toujours externe à l’entité financière. L’exécution des tests de pénétration fondés sur la menace devrait continuer de relever de la responsabilité intégrale de l’entité financière. Les attestations délivrées par les autorités ne devraient être fournies qu’à des fins de reconnaissance mutuelle et ne devraient empêcher aucune action de suivi nécessaire pour faire face au risque lié aux TIC auquel l’entité financière est exposée, ni être considérées comme une validation par les autorités de surveillance des capacités de gestion et d’atténuation du risque lié aux TIC d’une entité financière.

Spécificité Luxembourg

reglement CSSF 24-01 relatif a DORA et circulaire CSSF 22/806

Au Luxembourg, la CSSF est l'autorité TLPT désignée et applique le cadre TIBER-LU (Threat Intelligence-Based Ethical Red Teaming), aligne sur TIBER-EU de la BCE. Le règlement CSSF 24-01 relatif a DORA et la circulaire CSSF 22/806 sur l'externalisation TIC precisent les conditions d'agrement des testeurs internes : dossier depose au minimum 6 mois avant le lancement du test, charte d'independance contresignee par le Conseil d'administration, et notification de tout changement d'équipe en cours de test.

Pratique Luxgap : nos consultants instruisent votre dossier d'agrement CSSF en parallele du scoping TIBER-LU pour eviter le decalage classique de 4 a 8 mois entre la décision interne et le feu vert prudentiel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 61 ouvre une porté très tentante : utiliser ses propres équipes red team pour réaliser les TLPT et economiser le cout d'un prestataire externe. Mais la CSSF sanctionné en pratique trois derives récurrentes sur ce point : l'absence de demonstration formelle d'absence de conflit d'intérêts entre testeurs internes et équipes de défense, l'oubli de l'alternance obligatoire tous les trois tests, et la confusion entre attestation d'exécution et validation prudentielle du dispositif de gestion du risque TIC. Une attestation TIBER-LU ne vaut jamais quitus prudentiel.

Les conditions cumulatives pour mobiliser des testeurs internes

Accord préalable et explicite de la CSSF, documente avant le lancement du test, pas a posteriori.
Separation organisationnelle stricte entre la red team interne et les équipes blue team / SOC / RSSI : lignes de reporting distinctes, isolation budgetaire, absence de double casquette.
Alternance obligatoire : sur trois tests TLPT consecutifs, au moins un doit être conduit par un prestataire externe accredite.
Le fournisseur de threat intelligence (TI provider) doit toujours être externe a l'entité financiere, même quand les testeurs sont internes : c'est une règle de separation pure, sans exception.
La responsabilité pleine et entière du test reste sur l'entité financiere : pas de transfert vers le testeur interne, pas de dilution dans le groupe.
L'attestation finale delivree par l'autorité vaut reconnaissance mutuelle entre états membres, rien de plus : la CSSF garde toute latitude pour exiger des actions correctives ulterieures.

Comment Luxgap automatise ce risque

Notre Luxgap TLPT Governance Orchestrator ferme la porté au principal angle mort du considérant 61 : prouver, dossier en main, que vos testeurs internes remplissent toutes les conditions d'eligibilite au moment ou la CSSF vous le demande, et pas trois semaines après. L'outil se connecte a votre Active Directory, votre HRIS (Workday, Sopra HR, Cegid), votre ITSM (ServiceNow, Jira) et votre registre des contrats fournisseurs pour reconstruire automatiquement la cartographie des conflits d'intérêts et l'historique d'alternance test par test.

Detecte automatiquement tout chevauchement de rôle entre membres de la red team interne et équipes blue team / SOC / gestion des incidents via croisement AD groups et organigramme HRIS.
Calcule en temps reel le compteur d'alternance interne/externe sur les trois derniers TLPT et alerte 6 mois avant l'echeance du prochain test externe obligatoire.
Vérifié que le fournisseur de threat intelligence désigné est bien externe et tracable dans votre registre DORA des prestataires TIC, avec rapprochement automatique des contrats.
Genere le dossier de demande d'agrement CSSF pre-formate (charte d'independance, mandats, matrice RACI, attestation absence conflit) pret a deposer.
Produit un rapport PDF horodate et cryptographiquement scelle, opposable lors d'une inspection CSSF, demontrant le respect cumulatif de l'article 26(8) et du considérant 61.
Archive separement les attestations d'exécution et la posture de gestion du risque TIC pour eviter toute confusion interpretative avec la CSSF.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre dispositif red team reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 61

Ils nous font confiance

Avant de discuter