Communiqué

Entrée en application du règlement DORA au 17 janvier 2025

La CSSF rappelle aux entités financières soumises au règlement sur la résilience opérationnelle numérique (« règlement DORA », « Digital Operational Resilience Act ») qu’à partir du 17 janvier 2025, les exigences du règlement DORA et de ses normes techniques de réglementation et normes techniques d’exécution sous-jacentes, telles que publiées au Journal officiel de l’UE, prévalent sur tout élément ou toute exigence se chevauchant dans les circulaires de la CSSF, notamment dans les circulaires suivantes :

  • circulaire CSSF 20/750 détaillant les exigences en matière de gestion des risques liés aux technologies de l’information et de la communication et à la sécurité ;
  • circulaire CSSF 22/806 relative à l’externalisation (concernant les dispositifs d’externalisation de TIC) ;
  • circulaire CSSF 24/847 sur le cadre de notification des incidents TIC.

La CSSF souhaite rappeler aux entités financières que les autres sujets couverts par les circulaires susmentionnées, qui ne sont pas liés au règlement DORA, restent applicables dans leur forme actuelle aux entités financières respectives.

Les AES et la CSSF procèdent actuellement à la mise à jour des textes pertinents (Orientations et circulaires), qui seront publiés en temps utile. Dans l’intervalle, afin de fournir aux entités financières des orientations supplémentaires, des modalités pratiques sont d’ores et déjà prévues ci-dessous.

Modalités pratiques concernant les obligations de notification

1. Rappel du communiqué de presse du 5 décembre 2024

La CSSF rappelle aux entités financières le communiqué de presse du 5 décembre 2024 dans lequel les entités financières ont été invitées à (1) s’assurer qu’elles disposent d’un code identifiant LEI pour pouvoir soumettre la notification requise, et (2) créer le rôle spécifique de « IT incident notifier » (notificateur d’incidents informatiques) sous eDesk pour pouvoir soumettre les incidents via eDesk. Il est impératif que ces éléments soient en place pour pouvoir remplir les obligations de notification à partir du 17 janvier 2025.

2. Notification des incidents majeurs liés aux TIC et des cybermenaces importantes

À partir du 17 janvier 2025, les entités financières soumises au règlement DORA sont tenues de notifier les incidents majeurs liés aux TIC et les cybermenaces importantes à travers une nouvelle procédure dédiée comprenant deux formulaires de notification différents, disponibles sur eDesk, suivant la procédure déjà en place pour la notification des incidents en vertu de la circulaire CSSF 24/847 :

a) selon la procédure dédiée « DORA Major ICT-related incident and significant cyber threat notification » disponible sur le portail eDesk de la CSSF (edesk.apps.cssf.lu) ; ou
b) via l’interface API (S3) fournie par la CSSF.

Le guide de l’utilisateur sur les incidents majeurs liés aux TIC, disponible sur eDesk, sera mis à jour en conséquence et disponible à cette date afin d’aider les entités financières à soumettre leurs notifications.

Étant donné que l’objectif de la nouvelle procédure est d’harmoniser les exigences en matière de notification, cette nouvelle procédure remplace les notifications antérieures suivantes pour les entités financières désormais soumises au règlement DORA :

  • procédure eDesk « 24/847 sur le cadre de notification des incidents TIC » ;
  • notification des incidents majeurs sous PSD2 via le canal Sofie en vertu de la circulaire CSSF 21/787 ;
  • signalement par les établissements importants des cyberincidents significatifs directement à la BCE ;
  • notification par les DCT des incidents opérationnels importants1 liés au risque TIC.

En outre, la CSSF informe les entités financières des instructions suivantes :

1. Externalisation des obligations de notification conformément à l'article 6 du projet de normes techniques d’exécution (ITS) sur les formulaires, les modèles et les procédures types permettant aux entités financières de notifier un incident majeur et de notifier une cybermenace importante (ITS) et possibilité de notification agrégée par des prestataires tiers en vertu de l'article 7 des ITS

Les entités financières qui ont l’intention d’externaliser leurs obligations de notification à un tiers doivent en informer la CSSF avant la première notification ou déclaration et au plus tard dès que l’accord d’externalisation a été conclu. À cet égard, les informations suivantes doivent être fournies à ictrisksupervision@cssf.lu :

  • le nom, les coordonnées et le code d’identification du tiers qui soumettra les notifications pour le compte de l’entité financière ;
  • le nom, les coordonnées et la fonction des personnes agissant en qualité de tiers auxquelles le rôle de « IT incident notifier » sera attribué dans eDesk.

Il est à noter que les entités financières restent seules responsables de la protection de leurs données sensibles conformément aux réglementations applicables.

La CSSF informe les entités financières et les tiers que, après avoir soigneusement évalué les conditions de l’article 7, aucune notification agrégée par des fournisseurs tiers n’est autorisée pour le moment.

2. Obligation de notification le week-end ou les jours fériés conformément à l'article 5, paragraphe 5, du projet de normes techniques de réglementation (RTS) sur le contenu de la notification et des rapports pour les incidents majeurs et les cybermenaces importantes et la détermination des délais pour la notification des incidents majeurs (RTS)

Alors que les RTS précisent que la plupart des entités financières peuvent être exemptées de déclarer des incidents majeurs pendant les week-ends ou les jours fériés (conformément à l’article 5, paragraphe 4), l’article 5, paragraphe 5 précise que certaines entités financières seront néanmoins tenues de déclarer les incidents majeurs pendant les week-ends et les jours fériés. À cet égard, la CSSF a identifié la liste des entités financières concernées et les notifiera d’ici fin février 2025.

3. Déclaration du registre d'informations

La CSSF est tenue de soumettre le registre d’informations pour le 30 avril 2025 aux Autorités européennes de surveillance (AES)2. La date de référence du registre pour la première année de soumission est le 31 mars 20253.

Les entités financières sont tenues de soumettre leur registre d’informations à la CSSF du 1er avril 2025 au 15 avril 2025 via eDesk. D’autres informations relatives à la procédure eDesk seront publiées à un stade ultérieur.

Les registres soumis feront l’objet de certains contrôles de validation par la CSSF entre le 15 et le 31 avril 2025. Si des erreurs sont détectées, l’entité financière concernée sera invitée à corriger les erreurs détectées et à soumettre à nouveau son registre avant le 30 avril 2025.

Au cours du mois de mai 2025, les AES effectueront des contrôles supplémentaires. Si elles détectent des erreurs supplémentaires et refusent par conséquent le registre de leur côté, l’entité financière qui a soumis le registre doit corriger les erreurs détectées et soumettre à nouveau son registre à la CSSF, qui le communiquera ensuite aux AES.

La CSSF souligne que le registre d’informations doit être soumis en format CSV simple (comme lors de l’exercice blanc « Dry Run exercise »). Il convient de noter que les AES ne fourniront pas aux entités financières, comme elles l’ont fait lors de l’exercice blanc, un outil/script pour générer leur registre d’informations.

1 Article 45, paragraphe 6, du règlement (UE) n° 909/2014 et article 71, paragraphe 4, point b), du règlement délégué (UE) 2017/392 de la Commission du 11 novembre 2016 complétant le règlement (UE) n° 909/2014

2 Article 5 de la décision conjointe des AES publiée le 15 novembre 2024 (uniquement en anglais)

3 Article 4.3 de la même décision conjointe des AES publiée le 15 novembre 2024 (uniquement en anglais)