I need to bring my Luxembourg organisation into compliance with article II.3 of CSSF 12/552 (CSSF 12/552). What are the concrete requirements, the sanctions, and how can Luxgap support me?

The classic trapArticle II.3 sets out eight generic properties (integrity, robustness, effectiveness, adequacy, consistency, comprehensiveness, transparency, compliance) that the CSSF uses as a checklist during on-site inspections. The trap: institutions document governance that looks solid on paper (policies, committees, org charts) but fail the comprehensiveness test (an IT or ESG risk outside the consolidated perimeter is not covered) or the transparency test (responsibilities cannot be traced down to the individual employee). The objective and critical annual review required in point 9 is systematically the first weakness flagged by the CSSF: either it does not exist, or it is performed by the same people who designed the framework.The 8 properties facing CSSF scrutiny: what gets sanctioned in practiceIntegrity: conflicts of interest not mapped, gifts and benefits register missing, IT security not aligned with circular 20/750.Robustness: continuity plan for governance (not only business) inexistent, succession planning for authorised management not documented.Effectiveness: KRIs exist but trigger no action, committees meet but do not trace their decisions.Adequacy: framework copied from a foreign parent without adaptation to Luxembourg specifics (central administration, substance).Consistency: remuneration policy contradicts risk appetite, commercial strategy ignores ESG risks listed in point 11.Comprehensiveness: perimeter limited to prudential consolidation, ignoring SPVs, managed funds, critical outsourcing.Transparency: outdated RACI matrix, unsigned delegations, employees unable to name their first-line manager.Compliance: AML-CFT, MiFID II, DORA and CSSF 20/750 handled in silos with no consolidated compliance view.The point 9 annual review: the self-assessment trapThe CSSF expects an objective and critical review. Delegating this exercise solely to the Compliance Officer who drafted the policies is a methodological failure. The review must integrate external changes (new regulations, sector sanctions, macroeconomic evolution) and internal changes (new products, acquisitions, departures of authorised managers) and feed into the ICAAP report and the compliance report.How Luxgap automates this riskOur Luxgap Governance Integrity Radar turns the eight generic properties of article II.3 into a living score, continuously measured against your actual framework rather than your declared policies. The tool connects to your governance SharePoint, your GRC platform (ServiceNow GRC, MetricStream, OneTrust), your AD for delegations, and your committee minutes stored in M365, to rebuild a cryptographically sealed map enforceable before the CSSF.Computes an independent score for each of the eight properties (integrity, robustness, effectiveness, adequacy, consistency, comprehensiveness, transparency, compliance) with weekly updates.Detects inconsistencies between policies (remuneration vs risk appetite, business strategy vs RAS) through an LLM agen...

EU frameworkGDPR NIS 2 DORA AI Act Whistleblowing

CSSF circularsCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750CSSF 12/552CSSF 11/504

Article II.3

Chapitre 3 - Propriétés génériques d’un dispositif « solide » en

CSSF Circular 12/552 on central administration, internal governance and risk management · CSSF 12/552

Chapitre 3. Propriétés génériques d’un dispositif « solide » en matière d’administration centrale et de gouvernance interne

8. Le dispositif en matière d’administration centrale et de gouvernance interne est élaboré et mis en œuvre de sorte qu’il : • fonctionne de manière intègre (« intégrité »). Ce volet inclut aussi bien la gestion des conflits d’intérêts que la sécurité, en particulier en matière de systèmes d’information ; • soit fiable et fonctionne de manière continue (« robustesse »). En vertu du principe de continuité, tout établissement se dote également d’arrangements visant à rétablir le fonctionnement du dispositif de gouvernance interne en cas de discontinuité ; • soit efficace (« efficacité »). L'efficacité s’apprécie en particulier par rapport au fait que les risques sont effectivement gérés et contrôlés ; • réponde aux besoins de l’établissement dans son ensemble et de toutes ses unités organisationnelles et opérationnelles (« adéquation ») ; • soit cohérent dans son ensemble et dans ses parties (« cohérence ») ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• soit complet (« exhaustivité »). En ce qui concerne les risques, l’exhaustivité signifie que l’ensemble des risques doit être inclus dans le périmètre du dispositif de gouvernance interne. Ce périmètre ne s’arrête pas au seul périmètre (consolidé) prudentiel ou comptable. Il doit permettre à l’établissement de disposer d’une vue exhaustive sur tous ses risques, en termes de substance économique, en tenant compte de toutes les interactions existant à travers l’établissement. S’agissant du contrôle interne, le principe d’exhaustivité implique que le contrôle interne porte sur tous les domaines du fonctionnement de l’établissement ; • soit transparent (« transparence »). La transparence comprend une attribution et une communication claires et visibles des rôles et des responsabilités aux différents membres du personnel, à la direction autorisée et aux unités opérationnelles et organisationnelles de l’établissement ;

• soit conforme aux exigences légales et réglementaires, y compris aux exigences de la présente circulaire, aux exigences réglementaires applicables dans le domaine de la prévention du blanchiment et du financement du terrorisme, ou encore celles applicables en matière de fourniture de services d’investissement (« conformité »).

9. En vue d’assurer et de maintenir la solidité du dispositif en matière d’administration centrale et de gouvernance interne, ce dernier fait l'objet d’une révision objective, critique et régulière, au moins une fois par an. Cette révision tient compte de tous les changements internes et externes qui peuvent avoir une influence significative défavorable sur la solidité de ce dispositif dans son ensemble et sur le profil de risque et la capacité de l’établissement à gérer et à supporter ses risques en particulier.

10. Les établissements publient les éléments clés en matière de gouvernance interne et de gestion des risques conformément aux dispositions du CRR (article 435 et titre Ier de la huitième partie) ainsi qu’au règlement d’exécution (UE) 2021/637 de la Commission.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Chapitre 4. Organe de surveillance et direction autorisée

Sous-chapitre 4.1. L’organe de surveillance

Section 4.1.1. Responsabilités de l’organe de surveillance 11. L’organe de surveillance a la responsabilité globale de l’établissement. Il définit, surveille et porte la responsabilité de la mise en place d’un solide dispositif en matière d’administration centrale, de gouvernance et de contrôle interne, qui comprend une organisation interne clairement structurée et des fonctions de contrôle interne indépendantes ayant une autorité, une importance et des ressources appropriées à leurs responsabilités. Le cadre mis en place doit permettre d’assurer la gestion saine et prudente de l’établissement, d’en préserver la continuité et, d’en protéger la réputation. A cette fin, l’organe de surveillance approuve et arrête par écrit, après avoir entendu la direction autorisée et les responsables des fonctions de contrôle interne, les éléments clés suivants du dispositif en matière d’administration centrale, de gouvernance interne et de gestion des risques :

• la stratégie commerciale (modèle d’affaires) de l’établissement dans le respect des intérêts financiers de l’établissement à long terme, de sa solvabilité, de sa situation des liquidités et de son appétit au risque. Le développement et le maintien d’un modèle d’affaires durable exige la prise en compte de tous les risques matériels, y compris les risques environnementaux, sociaux et de gouvernance ; • la stratégie de l’établissement en matière de risques, y compris l’appétit au risque et le cadre global de prise, de gestion, de suivi et d’atténuation de l’ensemble des risques auxquels l’établissement est ou pourrait être exposé, y compris les risques générés par l’environnement macroéconomique ; • la stratégie de l’établissement en matière de fonds propres et de réserves de liquidités réglementaires et internes ; • une structure organisationnelle et opérationnelle claire et cohérente qui règle en particulier la création et le maintien par l’établissement d’entités (structures) juridiques ; • les principes directeurs en matière de systèmes, de technologie et de sécurité de l’information conformément à la circulaire CSSF 20/750, y compris les dispositifs internes de communication et d’alerte ; • les principes directeurs relatifs aux mécanismes de contrôle interne, qui incluent les fonctions de contrôle interne ; • les principes directeurs en matière de politique de rémunération ; • les principes directeurs en matière de déontologie, de valeurs d’entreprise et de gestion des conflits d’intérêts ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• les principes directeurs en matière d’égalité et de non-discrimination sur base du sexe, de l’orientation sexuelle, du changement de sexe, de l’identité de genre, de la couleur de peau, des origines sociales, des caractéristiques génétiques, de la langue, des mœurs, des convictions et opinions, politiques ou autres, de la fortune, de la naissance, de la situation de famille, de l’état de santé, du handicap, de l’âge ou de l’appartenance, respectivement de la non-appartenance, vraie ou supposée, à une ethnie, une nation, une race, une minorité ou une religion déterminée.

L’organe de surveillance, respectivement son comité de nomination vise à améliorer la représentation du sexe sous-représenté parmi les membres du personnel identifiés exerçant des fonctions de direction conformément au règlement délégué 2021/923 3.

• les principes directeurs en matière d’escalade et de sanctions visant à assurer que tout comportement non respectueux des règles applicables soit adéquatement poursuivi et sanctionné ; • les principes directeurs en matière d’administration centrale au Luxembourg, comprenant : ▪ les moyens humains et matériels que nécessite la mise en œuvre de la structure organisationnelle et opérationnelle ainsi que des stratégies de l’établissement, ▪ une organisation administrative, comptable et informatique intègre et respectant les lois et standards applicables, ▪ les principes directeurs en matière d’externalisation (« outsourcing ») , ainsi que ▪ les principes directeurs régissant la modification de l’activité (en termes de couverture de marchés et de clientèle, de nouveaux produits et de services) et l’approbation et le maintien d’activités inhabituelles ou potentiellement non transparentes ; • les principes directeurs en matière de continuité des activités et de gestion de crises ;

3 Règlement délégué (UE) 2021/923 de la Commission du 25 mars 2021 complétant la directive 2013/36/UE du Parlement européen et du Conseil par des normes techniques de réglementation fixant les critères permettant de définir les responsabilités dirigeantes, les fonctions de contrôle, l’unité opérationnelle importante et l’incidence significative sur le profil de risque de cette unité

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• les principes directeurs régissant la nomination et la succession à l’organe de direction et aux fonctions clés de l’établissement, ainsi que les procédures régissant l’organe de direction en termes de composition, comprenant les aspects de diversité, de responsabilités, d’organisation, de fonctionnement et d’évaluation individuelle et collective de ses membres. 4 Les aspects de diversité font référence aux caractéristiques des membres de l’organe de direction, y compris leur âge, sexe, origine géographique et parcours éducatif et professionnel. La promotion de la diversité repose sur le principe de non-discrimination et sur des mesures garantissant l’égalité des chances. 12. L’organe de surveillance charge la direction autorisée de mettre en œuvre les stratégies et principes directeurs par le biais de politiques et de procédures internes écrites (à l’exception des principes directeurs qui régissent la nomination et la succession au sein de l’organe de surveillance et les procédures déterminant son fonctionnement).

13. L’organe de surveillance surveille la mise en œuvre par la direction autorisée des stratégies et principes directeurs et approuve les politiques que la direction autorisée arrête en vertu de ces stratégies et principes. En ce faisant, l’organe de surveillance vise à garantir un modèle d’entreprise, un dispositif de gouvernance interne et un cadre de gestion des risques qui tiennent compte de tous les risques et de tous les facteurs de risque pertinents, y compris les risques de blanchiment et de financement du terrorisme, les risques en matière de fourniture de services d’investissement et les risques environnementaux, sociaux et de gouvernance 5.

Ces derniers peuvent influencer les risques prudentiels, comme le risque de crédit (par exemple en raison de facteurs de risque liés à la transition vers une économie durable ou à des événements climatiques 6 affectant les débiteurs, le marché ou la liquidité), le risque opérationnel et le risque de réputation (par exemple en cas d’externalisation). On peut y rencontrer les risques juridiques liés au droit contractuel ou au droit du travail, les risques liés aux potentielles violations des droits de l’homme et d’autres facteurs de risque ESG pouvant affecter le pays dans lequel un prestataire de services est implanté, ainsi que la capacité de ce dernier à fournir les niveaux de service convenus.

4 Dans le respect de la gouvernance d’entreprise, les principes directeurs et procédures applicables aux membres de l’organe de surveillance sont à soumettre, le cas échéant aux actionnaires pour accord, dans le respect de la procédure prudentielle, telle que publiée sur le site de la CSSF. 5 Rapport de l’EBA sur la gestion et la supervision des risques ESG (EBA/REP/2021/18) 6 Voir également circulaire CSSF 21/773 sur la gestion des risques climatiques et environnementaux.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

14. L’organe de surveillance évalue d’une manière critique, adapte en cas de besoin et réapprouve à des intervalles réguliers et au moins une fois par an, le dispositif de gouvernance interne, comprenant les stratégies clés et principes directeurs et leur implémentation au sein de l’établissement, les mécanismes de contrôle interne et le cadre de prise et de gestion des risques. Ces évaluations et ré-approbations visent à assurer que le dispositif de gouvernance interne continue à répondre aux exigences de la présente circulaire et aux objectifs d’une gestion efficace, saine et prudente des activités.

L’évaluation et la ré-approbation par l’organe de surveillance portent en particulier sur :

• l’adéquation entre les risques encourus, la capacité de l’établissement à gérer ces risques et les fonds propres et réserves de liquidités internes et réglementaires, compte tenu des stratégies et principes directeurs fixés par l’organe de surveillance et la réglementation applicable, y compris la circulaire CSSF 11/506 ; • les stratégies et principes directeurs en vue de les améliorer et de les adapter aux changements internes et externes, actuels et anticipés, ainsi qu’aux enseignements tirés du passé ; • la manière dont la direction autorisée s’acquitte de ses responsabilités et les performances de ses membres. Dans ce contexte, l’organe de surveillance revoit et évalue d’une manière critique et constructive les actions, propositions, décisions de, et informations fournies par, la direction autorisée et veille en particulier à ce que la direction autorisée mette en œuvre de manière prompte et efficace les mesures correctrices requises pour remédier aux problèmes, déficiences et irrégularités relevés par les fonctions de contrôle interne, le réviseur d’entreprises agréé et l’autorité compétente ; • l’adéquation de la structure organisationnelle et opérationnelle. L’organe de surveillance doit avoir une compréhension parfaite de la structure organisationnelle de l’établissement, en particulier en termes des entités (structures) juridiques sous-jacentes, de leur raison d’être, des liens et interactions intra-groupe qui les relient ainsi que des risques y liés. Il vérifie que la structure organisationnelle et opérationnelle correspond aux stratégies et principes directeurs, qu’elle permet une gestion saine et prudente des activités qui est exempte d’opacité et de complexité indue, et qu’elle reste justifiée par rapport aux objectifs assignés. Cette exigence s’applique tout particulièrement aux activités inhabituelles ou potentiellement non transparentes ; • l’efficacité et l’efficience des mécanismes de contrôle interne mis en place par la direction autorisée.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Les évaluations en question peuvent être préparées par les comités spécialisés. Elles se font en particulier sur base des informations reçues de la part de la direction autorisée, des rapports de révision émis par le réviseur d’entreprises agréé (rapports sur les comptes annuels, comptes rendus analytiques et, le cas échéant, « management letters »), des rapports ICAAP, ILAAP et des rapports des fonctions de contrôle interne que l’organe de surveillance est appelé à approuver à cette occasion.

15. Il appartient à l’organe de surveillance de promouvoir une culture interne en matière de risque et de compliance qui sensibilise le personnel de l’établissement aux impératifs d’une gestion saine et prudente des risques et qui favorise une attitude positive à l’égard du contrôle interne et de la compliance, et de stimuler le développement d’un dispositif de gouvernance interne qui permet d’atteindre ces objectifs.

S’agissant des fonctions de contrôle interne, l’organe de surveillance veille à ce que les travaux de ces fonctions soient exécutés suivant des normes reconnues et dans le cadre de politiques approuvées.

16. L’organe de surveillance veillera à consacrer un temps suffisant aux thématiques du risque, s’engageant activement et s’assurant que l’établissement y consacre des ressources adéquates.

17. Lorsque l’organe de surveillance prend connaissance que le dispositif en matière d’administration centrale ou de gouvernance interne ne permet plus une gestion saine et prudente des activités ou que les risques encourus ne sont ou ne seront plus adéquatement supportés par la capacité de l’établissement à gérer ces risques, par des fonds propres ou des réserves de liquidités réglementaires ou internes, il exige de la direction autorisée de lui présenter sans délais des mesures correctrices et en notifie immédiatement l’autorité compétente. L’obligation de notification à l’autorité compétente porte aussi sur toutes les informations qui remettent en cause la qualification ou l’honorabilité de membres de l’organe de direction ou de la direction autorisée ou d’un responsable d’une fonction clé.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Section 4.1.2. Composition et qualification de l’organe de surveillance 18. Les membres de l’organe de surveillance doivent être suffisants en nombre et présenter dans leur ensemble une composition adéquate qui permet à l’organe de surveillance de s'acquitter pleinement de toutes ses responsabilités. Le caractère adéquat se réfère en particulier aux qualités professionnelles (connaissances, compétences et expérience adéquates), ainsi qu’aux qualités personnelles des membres de l’organe de surveillance. Par ailleurs, chaque membre doit justifier son honorabilité professionnelle. Les principes directeurs régissant la nomination et la succession des membres de l’organe de surveillance expliquent et arrêtent les facultés jugées nécessaires en vue d’assurer une composition et une qualification appropriées de l’organe de surveillance.

19. L’organe de surveillance doit disposer collectivement de connaissances, compétences et d’une expérience appropriées à la nature, à l’échelle et à la complexité des activités et de l’organisation de l’établissement.

L’organe de surveillance doit avoir collectivement une compréhension parfaite de l’ensemble des activités (et des risques qui leur sont inhérents) ainsi que de l’environnement économique et réglementaire dans lequel évolue l’établissement.

Les membres de l’organe de surveillance disposent individuellement d’une parfaite compréhension du dispositif de gouvernance interne et de leurs responsabilités au sein de l’établissement. Ils maîtrisent les activités qui sont du ressort de leur domaine d’expertise et disposent d’une bonne compréhension des autres activités significatives de l’établissement.

20. Les membres de l’organe de surveillance veillent à ce que leurs qualités personnelles leur permettent d’exécuter leur mandat de manière efficace, avec l’engagement, la disponibilité, l’objectivité, le sens critique et l’indépendance d’esprit requis. A ce titre, l’organe de surveillance ne peut pas compter parmi ses membres une majorité de personnes qui assument un rôle exécutif au sein de l’établissement (directeurs autorisés ou autres membres du personnel de l’établissement, à l’exception des représentants du personnel élus conformément à la réglementation applicable). La prise de décisions au sein de l’organe de surveillance ne doit pas être dominée par un seul membre ou un petit groupe de membres.

Les membres de l’organe de surveillance veillent à ce que leur mandat soit et reste compatible avec leurs autres emplois, mandats et intérêts éventuels, en particulier en termes de conflits d’intérêts et de disponibilité. Ils informent l’organe de surveillance des mandats qu’ils ont en dehors de l’établissement.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

21. Les termes des mandats doivent être fixés de manière à permettre à l’organe de surveillance d’exercer ses responsabilités de manière continue et efficace. La reconduction de membres existants doit s’orienter en particulier à leurs performances passées. La continuité du fonctionnement de l’organe de surveillance doit être assurée.

22. Les principes directeurs régissant la nomination et la succession des membres de l’organe de surveillance prévoient les mesures nécessaires pour que ces membres soient et restent qualifiés tout au long de leur mandat. Ces mesures comprennent une initiation spécifique pour comprendre la structure, le modèle d’affaires, le profil de risque et les dispositifs de gouvernance et ensuite des programmes de formation professionnelle qui permettent aux membres de l’organe de surveillance de comprendre d’une part, les opérations de l’établissement, leur rôle et d’autre part, de maintenir à jour et d’approfondir leurs compétences.

23. Chaque établissement devrait nommer au moins un membre à son organe de surveillance qui peut être considéré comme « membre indépendant ».

Un membre indépendant de l’organe de surveillance ne connaît pas de conflits d'intérêts de nature à altérer sa capacité de jugement, du fait qu’il est, ou a été dans un passé récent, lié par une relation quelconque - professionnelle, familiale ou autre - avec l’établissement, l'actionnaire qui le contrôle ou la direction de l'un ou de l'autre. Pour l’appréciation du caractère d’indépendance, les établissements appliquent les critères de la section 9.3 des EBA/GL/2021/06 telle que reproduite en annexe I.

Les établissements qui sont d’importance significative ou dont les actions sont admises à la négociation sur un marché réglementé veilleront à doter leur organe de surveillance d’un nombre suffisant de membres indépendants, compte tenu de leur organisation ainsi que de la nature, de l’échelle et de la complexité de leurs activités.

Section 4.1.3. Organisation et fonctionnement de l’organe de surveillance

24. L’organe de surveillance se réunit régulièrement en vue de s’acquitter de manière efficace de ses responsabilités. A cette fin, une majorité des réunions de l’organe de surveillance devraient se tenir au siège de l’établissement luxembourgeois en présence (sur place) d’une majorité de ses membres. L’organisation et le fonctionnement de l’organe de surveillance sont consignés par écrit. Les objectifs et les responsabilités de ses membres sont également documentés par des mandats écrits.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

25. Les travaux de l’organe de surveillance doivent être documentés par écrit. Cette documentation inclut l’agenda et les procès-verbaux des réunions avec les décisions et mesures prises par l’organe de surveillance. Les procès- verbaux sont un outil important qui doit aider l’organe de surveillance et ses membres à faire le suivi des décisions d’une part, et permettre à l’organe et à ses membres de rendre des comptes aux actionnaires et aux autorités compétentes, d’autre part. Ainsi, des points de routine peuvent figurer de façon succincte sous forme de simple décision au procès-verbal d’une réunion, alors que des points importants de l’ordre du jour impliquant des risques pour l’établissement ou débattus contradictoirement doivent être rapportés plus en détail, permettant au lecteur de suivre les débats et d’identifier les positions défendues.

[...]

Luxgap guidance · DPO & CISO

How to comply

The classic trap

Article II.3 sets out eight generic properties (integrity, robustness, effectiveness, adequacy, consistency, comprehensiveness, transparency, compliance) that the CSSF uses as a checklist during on-site inspections. The trap: institutions document governance that looks solid on paper (policies, committees, org charts) but fail the comprehensiveness test (an IT or ESG risk outside the consolidated perimeter is not covered) or the transparency test (responsibilities cannot be traced down to the individual employee). The objective and critical annual review required in point 9 is systematically the first weakness flagged by the CSSF: either it does not exist, or it is performed by the same people who designed the framework.

The 8 properties facing CSSF scrutiny: what gets sanctioned in practice

Integrity: conflicts of interest not mapped, gifts and benefits register missing, IT security not aligned with circular 20/750.
Robustness: continuity plan for governance (not only business) inexistent, succession planning for authorised management not documented.
Effectiveness: KRIs exist but trigger no action, committees meet but do not trace their decisions.
Adequacy: framework copied from a foreign parent without adaptation to Luxembourg specifics (central administration, substance).
Consistency: remuneration policy contradicts risk appetite, commercial strategy ignores ESG risks listed in point 11.
Comprehensiveness: perimeter limited to prudential consolidation, ignoring SPVs, managed funds, critical outsourcing.
Transparency: outdated RACI matrix, unsigned delegations, employees unable to name their first-line manager.
Compliance: AML-CFT, MiFID II, DORA and CSSF 20/750 handled in silos with no consolidated compliance view.

The point 9 annual review: the self-assessment trap

The CSSF expects an objective and critical review. Delegating this exercise solely to the Compliance Officer who drafted the policies is a methodological failure. The review must integrate external changes (new regulations, sector sanctions, macroeconomic evolution) and internal changes (new products, acquisitions, departures of authorised managers) and feed into the ICAAP report and the compliance report.

How Luxgap automates this risk

Our Luxgap Governance Integrity Radar turns the eight generic properties of article II.3 into a living score, continuously measured against your actual framework rather than your declared policies. The tool connects to your governance SharePoint, your GRC platform (ServiceNow GRC, MetricStream, OneTrust), your AD for delegations, and your committee minutes stored in M365, to rebuild a cryptographically sealed map enforceable before the CSSF.

Computes an independent score for each of the eight properties (integrity, robustness, effectiveness, adequacy, consistency, comprehensiveness, transparency, compliance) with weekly updates.
Detects inconsistencies between policies (remuneration vs risk appetite, business strategy vs RAS) through an LLM agent specialised on the CSSF 12/552, 20/750, 22/807 and 24/860 corpus.
Maps responsibilities automatically by cross-referencing the AD org chart, signed DocuSign delegations and committee minutes, producing an up-to-date RACI matrix and flagging grey areas.
Drives the annual point 9 review with an adversarial workflow: part of the assessment is assigned to an independent reviewer (internal audit or Luxgap third party), guaranteeing the required objectivity.
Monitors perimeter comprehensiveness in real time: alerts as soon as a new SPV, managed fund, critical outsourcer or off-consolidation entity appears without being linked to the framework.
Produces a timestamped PDF report, cryptographically sealed, structured along the CSSF grid, directly usable during an on-site inspection or as an annex to the ICAAP report.

Available as part of a Luxgap CISO or DPO mandate or as a standalone SaaS module depending on your regulatory perimeter. Request a personalised quote and our teams will run a demonstration on your actual framework, with a free 48h white audit measuring your score on the eight properties before any engagement.

Need help?

Our team (lawyers + cyber engineers + developers) supports you. Free quote within 48h.

Chapitre 3 - Propriétés génériques d’un dispositif « solide » en

They trust us

Before we chat