FRO.LU - Citizen-Driven Parliamentary Oversight

Premier bilan de la notification d'incidents ICT majeurs sous le règlement DORA

Proposed
29 views

Le règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA), directement applicable depuis le 17 janvier 2025, impose aux entités financières de notifier à la CSSF tout incident ICT majeur ainsi que toute cybermenace significative, selon un processus en trois phases (notification initiale, rapport intermédiaire, rapport final) et dans des délais stricts. La CSSF a mis en place une procédure dédiée via sa plateforme eDesk et a publié la circulaire CSSF 25/893 du 28 mai 2025 précisant les modalités pratiques.

Près d'un an après l'entrée en application de DORA, il convient de dresser un premier bilan de ce dispositif. Dans ce contexte, j'aimerais poser les questions suivantes à Monsieur le Ministre :


Volumes et typologies (17 janvier 2025 – 1er janvier 2026)

  1. Combien de notifications d'incidents ICT majeurs la CSSF a-t-elle reçues depuis le 17 janvier 2025 ? Le Ministre peut-il fournir une ventilation par type d'entité financière (établissements de crédit, entreprises d'investissement, sociétés de gestion, PSF, prestataires de services de paiement, etc.) ?
  2. Combien de notifications de cybermenaces significatives ont été reçues sur cette même période ?
  3. Quelles sont les principales typologies d'incidents notifiés (ransomware, compromission de données, défaillance de prestataire ICT tiers, déni de service, défaillance applicative) et quelles tendances se dégagent par rapport aux notifications reçues sous l'ancien régime de la circulaire CSSF 24/847 ?

Respect des délais et qualité des notifications

  1. Quel est le délai moyen constaté entre la survenance d'un incident et la soumission de la notification initiale par l'entité financière ? Dans combien de cas le délai réglementaire de 4 heures pour la notification initiale et de 72 heures pour le rapport intermédiaire n'a-t-il pas été respecté ?
  2. Dans combien de cas la CSSF a-t-elle jugé une notification incomplète et demandé un complément d'information ? Quel est le délai moyen de soumission du rapport final clôturant un incident ?
  3. Combien d'entités financières avaient effectivement créé le rôle eDesk « IT Incident Notifier » au 17 janvier 2025 et combien ne l'avaient pas encore fait, compromettant ainsi leur capacité à notifier dans les délais ?


Sous-notification et contrôles

  1. La CSSF a-t-elle identifié des cas où un incident ICT majeur aurait dû être notifié mais ne l'a pas été ? Quels mécanismes de détection des sous-notifications la CSSF a-t-elle mis en place ?
  2. La CSSF a-t-elle procédé à des contrôles proactifs, des exercices de simulation ou des inspections sur place pour vérifier la capacité des entités financières à classifier correctement un incident et à le notifier dans les délais requis ?

Sanctions

  1. Combien de mesures de supervision ou de sanctions la CSSF a-t-elle prises à l'encontre d'entités financières pour défaut, retard ou insuffisance de notification d'incident ICT majeur depuis le 17 janvier 2025 ? Si aucune mesure n'a été prise, comment le Ministre explique-t-il l'absence de recours à cet outil, alors que DORA prévoit des amendes pouvant atteindre 10 millions d'euros ou 2 % du chiffre d'affaires mondial ?

Notification le week-end et jours fériés

  1. La CSSF a annoncé en février 2025 le report de l'obligation de notification les week-ends et jours fériés pour certaines entités, en raison de la non-transposition de la directive NIS2 au Luxembourg. Ce report est-il toujours en vigueur ? Le Ministre peut-il préciser combien d'entités sont concernées et quand cette obligation sera effective ? Des incidents survenus un week-end ou un jour férié ont-ils, de ce fait, été notifiés avec un retard significatif ?

Prestataires ICT tiers et registre d'informations

  1. Combien d'entités financières ont soumis leur registre d'informations (Register of Information) dans les délais impartis en avril 2025 ? Combien de registres ont été rejetés par la CSSF ou les autorités européennes de supervision (ESAs) pour erreurs ou incomplétude ?
  2. Parmi les incidents ICT majeurs notifiés, quelle proportion impliquait un prestataire ICT tiers ? La CSSF dispose-t-elle d'une vue consolidée des prestataires tiers les plus fréquemment impliqués dans des incidents affectant la place financière luxembourgeoise ?

Coordination et transparence

  1. Comment la coordination entre la CSSF, le HCPN, le CIRCL et, le cas échéant, la BCE s'organise-t-elle concrètement lors de la réception d'une notification d'incident ayant un impact transfrontalier ou affectant une entité sous supervision directe de la BCE ?
  2. La CSSF prévoit-elle de publier des statistiques agrégées ou un rapport sur les incidents ICT majeurs notifiés, afin de renforcer la transparence et de permettre au secteur d'en tirer des enseignements collectifs ?

Moyens de la CSSF

  1. Combien d'agents de la CSSF sont actuellement affectés au traitement et à l'analyse des notifications d'incidents ICT sous DORA et du contrôle onside des TICs? Le Ministre estime-t-il que ces moyens sont suffisants au regard du volume attendu de notifications, sachant que le périmètre DORA couvre plus de 20 types d'entités financières ?

Évaluation globale

  1. Le Ministre peut-il dresser un premier bilan qualitatif de l'application de DORA au Luxembourg depuis le 17 janvier 2025 ? Le niveau de préparation des entités financières luxembourgeoises est-il jugé satisfaisant ? Quels sont les principaux défis identifiés ?
ago in Fonction publique by | 29 views

Login or Sign Up in order to comment.

Welcome to FRO.LU. You can propose parliamentary questions, which Members of Parliament Sven Clement and Marc Goergen formally submit to the government. The official responses from the responsible ministers are then published on this platform.

205 propsoals

114 answered

343 comments

4.4k users

Newsletter

Subscribe to our newsletter to receive a weekly digest of the most popular parliamentary questions and comments. You can unsubscribe at any time.