Circulaire CSSF 25/893 : Notification des incidents TIC

Circulaire CSSF 25/893 : Notification des incidents TIC

Introduction

La Circulaire CSSF 25/893, publiée le 28 mai 2025, aborde la notification des incidents majeurs liés aux technologies de l'information et de la communication (TIC) et des cybermenaces importantes en vertu de la loi sur la résilience opérationnelle numérique, connue sous le nom de Digital Operational Resilience Act (DORA).

Contexte et Objectifs

Cette circulaire vise à renforcer la résilience opérationnelle des entités financières face aux cybermenaces croissantes. Elle établit un cadre pour la notification rapide et efficace des incidents majeurs, permettant ainsi une réponse coordonnée et une atténuation rapide des risques.

Exigences de Notification

Les entités doivent signaler tout incident majeur lié aux TIC qui pourrait avoir un impact significatif sur leurs opérations ou sur la stabilité du marché financier. La notification doit inclure des détails sur la nature de l'incident, les mesures prises pour le contenir, et les impacts potentiels.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Établir un protocole de notification des incidents TIC.

- Former le personnel à la détection et à la réponse aux cybermenaces.

- Mettre en place des systèmes de surveillance continue pour identifier rapidement les incidents.