DORA – Report de la notification aux entités financières concernées de leur obligation de déclarer un incident majeur le week-end ou les jours fériés
Dans un communiqué du 15 janvier 2025, la CSSF indiquait qu’elle notifierait les entités financières identifiées comme celles qui, conformément à l’article 5, paragraphe 5 des normes techniques de règlementation (RTS)1, ne peuvent pas être exemptées de déclarer un incident majeur pendant les week-ends et les jours fériés alors que le délai de soumission de notification de cet incident expire un jour de week-end ou un jour férié. Cette notification de la CSSF aux entités financières concernées devait avoir lieu avant la fin du mois de février.
Cependant, considérant que l’article 5, paragraphe 5 des RTS fait référence à la directive (UE) 2022/2555 du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (directive SRI 2), la CSSF informe les entités financières que la notification aux entités financières concernées de leur obligation de déclarer un incident majeur le week-end ou les jours fériés ne peut avoir lieu tant que cette directive n’est pas transposée au niveau national et est donc reportée.
1 Règlement délégué (UE) 2025/301 de la Commission du 23 octobre 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes
