JOURNAL OFFICIEL

DU GRAND-DUCHÉ DE LUXEMBOURG
MÉMORIAL A

N° 3 du 5 janvier 2024

Règlement CSSF n° 24-01 du 5 janvier 2024 relatif à la notification des incidents selon la loi du 28 mai
2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6
juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des
réseaux et des systèmes d’information dans l’Union européenne.

La Direction de la Commission de Surveillance du Secteur Financier,

Vu l’article 129(2) de la Constitution ;
Vu la loi modifiée du 23 décembre 1998 portant création d’une commission de surveillance du secteur
financier et notamment son article 9, paragraphe 2 ;
Vu la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du
Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité
des réseaux et des systèmes d’information dans l’Union européenne (la « loi SRI ») et modifiant la loi modifiée
du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et la loi du 23 juillet
2016 portant création d’un Haut-Commissariat à la Protection nationale ;
Vu l’article 3 de la loi SRI désignant la Commission de surveillance du secteur financier (ci-après « la CSSF »)
comme l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information couvrant les
secteurs des établissements de crédit et des infrastructures de marchés financiers tels que définis aux points
3 et 4 de l’annexe de la loi SRI, ainsi que les services numériques fournis par une entité tombant sous la
surveillance de la CSSF ;
Vu l’article 8, paragraphe 5, de la loi SRI, en vertu duquel l’autorité compétente peut préciser, par voie de
règlement, les paramètres, les modalités et délais des notifications des incidents qui ont un impact significatif
sur la continuité des services essentiels que les opérateurs de services essentiels fournissent ;
Vu l’article 11, paragraphe 3, de la loi SRI, en vertu duquel l’autorité compétente détermine par voie de
règlement les modalités, le format et le délai des notifications des incidents qui ont un impact significatif sur
la fourniture d’un service numérique que les fournisseurs de service numérique offrent dans l’Union
européenne ;
Vu l’avis du Comité consultatif de la réglementation prudentielle ;

Arrête :

Article 1er – Définitions

1) Aux fins du présent règlement, on entend par :
a. « Établissements de crédit » : Établissements de crédit au sens de l’article 1er, point 12, de la loi
modifiée du 5 avril 1993 relative au secteur financier (la « LSF »).
b. « Infrastructures de marchés financiers » : Exploitants de plate-forme de négociation au sens de
l’article 1er, point 43, de la loi du 30 mai 2018 relative aux marchés d’instruments financiers et/ou
contreparties centrales au sens de l’article 2, point 1, du règlement (UE) n° 648/2012 du Parlement
européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties
centrales et les référentiels centraux.
c. « PSF de support » : professionnels du secteur financier agréés selon l’article 29-3 de la LSF.
d. « Opérateur de services essentiels » : conformément à l’article 2, point 3, de la loi SRI, une entité
publique ou privée dont le type figure en annexe de la loi SRI et qui répond aux critères énoncés à
l’article 7, paragraphe 2, de la loi SRI1.

A3-1
JOURNAL OFFICIEL du Grand-Duché de Luxembourg MÉMORIAL A - 3 du 5 janvier 2024

e. « Service essentiel » : un service qui est essentiel au maintien d’activités sociétales et/ou
économiques critiques et qui est listé comme service essentiel à l’article 2 du règlement CSSF N°
20-04 du 15 juillet 2020.
f. « Fournisseur de service numérique » : conformément à l’article 2, point 5, de la loi SRI, une
personne morale qui fournit un service numérique tel que défini à l’article 2, point 4, de la loi SRI2.

Article 2 – Exigences de classification d’incidents et de notification d’incidents significatifs

1) Les établissements de crédit et les infrastructures de marché désignés comme opérateur de services
essentiels suivant le Chapitre 3 de la loi SRI classifient leurs incidents conformément à l’article 8,
paragraphe 5, de la loi SRI.
2) Conformément à l’article 8, paragraphe 4, de la loi SRI, les établissements de crédit et les infrastructures
de marché désignés comme opérateur de services essentiels notifient à la CSSF, sans retard injustifié,
les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent.
3) Les PSF de support qui sont également fournisseurs de service numérique classifient leurs incidents
conformément à l’article 11, paragraphe 4, de la loi SRI.
4) Conformément à l’article 11, paragraphe 3, de la loi SRI, les PSF de support qui sont également
fournisseurs de service numérique notifient à la CSSF, sans retard injustifié, les incidents qui ont un impact
significatif sur la fourniture d’un service numérique qu’ils offrent dans l’Union européenne.
5) Les classifications d’incident mentionnées aux points 1 et 3 du présent article ainsi que les notifications
d’incidents mentionnées aux points 2 et 4 du présent article respectent les modalités spécifiées dans une
circulaire CSSF.

Article 3 – Publication et entrée en vigueur

1) Le présent règlement sera publié au Journal officiel du Grand-Duché de Luxembourg et sur le site Internet
de la CSSF. Il entre en vigueur le 1er avril 2024.

Luxembourg, le 5 janvier 2024.

Commission de Surveillance du Secteur Financier

Claude WAMPACH Marco ZWICK Jean-Pierre FABER

Directeur Directeur Directeur

Françoise KAUTHEN Claude MARX

Directeur Directeur général

1 En sa qualité d’autorité SRI, la CSSF a déjà notifié aux entités surveillées concernées leur identification en tant qu’Opérateur de services essentiels (OSE) lors de l’entrée
en vigueur de la loi SRI. La CSSF reconfirmera aux entités surveillées concernées leur statut d’OSE au plus tard le 1er mars 2024. Les entités surveillées qui n’auront pas
reçu cette notification à cette date ne sont donc pas désignées comme des OSE, sans préjudice d’une éventuelle désignation future.

2 En sa qualité d’autorité SRI, la CSSF a déjà informé les entités surveillées concernées de leur statut de Fournisseur de service numérique (FSN) lors de l’entrée en vigueur
de la loi SRI. La CSSF reconfirmera aux entités surveillées concernées leur statut de FSN au plus tard le 1er mars 2024. Les entités surveillées qui n’auront pas reçu cette
information à cette date ne sont donc pas considérées comme des FSN, sans préjudice d’une éventuelle information future.

A3-2