Communiqué

Communiqué relatif à la notification d’incidents liés aux TIC

Nouvelles exigences et procédure de notification

La CSSF a publié aujourd’hui deux documents importants relatifs au cadre de notification des incidents liés aux TIC en vue d’obtenir une meilleure vue d’ensemble plus structurée de la nature, de la fréquence, de l’importance et des conséquences des incidents liés aux TIC, en prenant également en compte le risque croissant lié aux TIC et à la sécurité dans le contexte d’un système financier mondial fortement interconnecté.

1. Règlement CSSF n° 24-01 du 5 janvier 2024 relatif à la notification des incidents selon la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne

Ce règlement CSSF a été publié au Mémorial le 5 janvier 2024 et entre en vigueur le 1er avril 2024. Dans son article 2, il informe les opérateurs de services essentiels (« OSE ») et les fournisseurs de services numériques (« FSN »), soumis à la loi du 28 mai 2019 (« Loi SRI ») et pour lesquels la CSSF est « l’autorité SRI » en vertu de l’article 3 de la Loi SRI, de la classification des incidents et des exigences en matière de notification des incidents majeurs conformément à la Loi SRI. Ces exigences ont été précisées dans la circulaire CSSF 24/847 visée au point 2 ci-dessous afin de disposer d’un document uniforme spécifiant le processus de classification et de notification des incidents liés aux TIC pour toutes les entités surveillées par la CSSF (« Entités Surveillées ») conformément aux cadres réglementaires relatifs au secteur financier et/ou à la Loi SRI.

En sa qualité d’autorité SRI, la CSSF a déjà notifié, respectivement informé, les Entités Surveillées concernées de leur identification en tant qu’OSE ou de leur considération en tant que FSN lorsque la Loi NIS est entrée en vigueur.

La CSSF confirmera à nouveau le statut d’OSE, respectivement de FSN, aux Entités Surveillées concernées au plus tard le 1er mars 2024. Les Entités Surveillées qui n’ont pas reçu cette notification, respectivement information, à la date prévue ne sont donc pas désignées OSE ou ne sont pas considérées comme FSN, sans préjudice d’une possible désignation ou information ultérieure.

2. Circulaire CSSF 24/847 sur le cadre de notification des incidents liés aux TIC

La circulaire entre en vigueur le 1er avril 2024 pour les Entités Surveillées telles que définies au point 2.a) à d) et k) à p) de la section 1.1, et le 1er juin 2024 pour les Entités Surveillées telles que définies au point 2.e) à j) de la section 1.1.

La circulaire abrogera et remplacera la circulaire CSSF 11/504 concernant les fraudes et incidents dus à des attaques informatiques externes le 1er avril 2024 pour les Entités Surveillées telles que définies au point 2.a) à d) et k) à p) de la section 1.1, et le 1er juin 2024 pour les Entités Surveillées telles que définies au point 2.e) à j) de la section 1.1.

A) La circulaire apporte les modifications suivantes au mécanisme actuel de notification des incidents :

  • Élargissement de la couverture des incidents qui est actuellement limitée à la fraude et aux incidents dus à des attaques informatiques externes conformément à la circulaire CSSF 11/504, en couvrant plus largement les incidents opérationnels et de sécurité liés aux TIC tout en évitant la double notification pour les incidents à notifier en vertu d’autres cadres de notification des incidents.
  • Introduction de notifications reposant sur la classification. Les Entités Surveillées seront tenues de classifier les incidents liés aux TIC sur base des critères énoncés dans la circulaire et de notifier à la CSSF les cas d’incidents liés aux TIC qui sont classifiés en tant qu’incidents majeurs ou significatifs.
  • Introduction d’un nouveau formulaire de notification d’incidents. Afin d’obtenir les données de manière structurée, les Entités Surveillées seront tenues de compléter et de soumettre un formulaire de notification d’incidents liés aux TIC au cas où l’incident lié aux TIC est classifié en tant qu’incident majeur ou significatif.
  • Introduction d’un chapitre spécifique pour couvrir dans la même circulaire les exigences en matière de notification d’incidents (précédemment communiqué de manière bilatérale aux Entités Surveillées qui tombent sous le champ d’application de la Loi SRI) en vue d’appliquer le nouveau formulaire de notification d’incidents et les exigences pratiques aux notifications d’incidents évalués comme significatifs en vertu de la Loi SRI.

B) Soumission de notifications d’incidents liés aux TIC :

Les notifications d’incidents liés aux TIC doivent être soumises en prenant en considération les délais et les champs de données énoncés respectivement à l’annexe I et II de la circulaire CSSF 24/847 à partir du 1er avril 2024, respectivement du 1er juin 2024, tel qu’indiqué au point 2 ci-dessus. D’autres lignes directrices relatives aux canaux de soumission et à la procédure de soumission y relative seront publiées à un stade ultérieur.

 

 

De plus amples informations sont également disponibles sur la page « Risque TIC », section « Notification des incidents liés aux TIC ».

Toute question en relation avec le règlement, la circulaire ou le nouveau processus de notification d’incidents liés aux TIC est à adresser à ictrisksupervision@cssf.lu.