I need to bring my Luxembourg organisation into compliance with article II.6 of CSSF 12/552 (CSSF 12/552). What are the concrete requirements, the sanctions, and how can Luxgap support me?

The classic trapArticle II.6 of CSSF circular 12/552 is the first article the CSSF audits during an on-site inspection. The trap is not the absence of internal control, it is the inability to demonstrate that the three lines of defence genuinely operate independently. Many Luxembourg institutions have a flawless organisational chart on paper (compliance, risk, internal audit separated), but in practice the first line does not document its daily controls, the second line produces reporting without real challenge, and internal audit follows a three-year rotation disconnected from the actual risk landscape. The CSSF sanctions this duality very concretely: observation letter, remediation injunction, and in serious cases, restriction of the license.The practical pitfalls the CSSF detects during inspectionsNo evidence of first-line daily controls: the trader says they check positions, but no timestamp, no proof, no control ticketing system.Confusion between advisory and control for the second line: the compliance function drafts the procedures and validates them itself, destroying independence.Non risk-based internal audit plan: internal audit follows a calendar rotation disconnected from the updated risk mapping.Lack of segregation of duties: the same staff member books a transaction, validates it and reconciles the account, classic on small PSF structures.Formal AML/CFT controls without a risk-based approach: identical due diligence applied to all clients with no documented scoring.No incident and exception reporting: controls detect anomalies but they never reach the risk committee or supervisory body.No tracked remediation: internal audit recommendations are noted but no firm closing follow-up with documentary evidence.How Luxgap automates this riskOur Luxgap Three Lines Sentinel makes the theoretical-internal-control scenario impossible by materialising in real time the actual activity of the three lines of defence. The tool connects to your core systems (Olympic, Avaloq, Temenos T24, Sopra Sab, eFront, Multifonds), your Active Directory, your Microsoft Defender, your ticketing platform (ServiceNow, Jira) and your document management (M365, OpenText) to reconstruct the full chain of controls executed, not executed, bypassed or undocumented, and confronts it automatically with the internal control charter approved by your authorised management.Automatically detects segregation-of-duties breaches by cross-referencing Active Directory rights with Olympic/Avaloq workflows, and alerts on any booking-validation-reconciliation combination performed by the same user.Measures the real execution rate of first-line daily controls based on system timestamps and produces a dashboard enforceable before the CSSF.Classifies each detected incident according to the CSSF risk matrix (operational, compliance, AML, reputation) and routes it automatically to the relevant second-line function.Generates the risk-based internal audit plan pre-filled by cross-referencin...

EU frameworkGDPR NIS 2 DORA AI Act Whistleblowing

CSSF circularsCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750CSSF 12/552CSSF 11/504

Article II.6

Chapitre 6 - Le contrôle interne

CSSF Circular 12/552 on central administration, internal governance and risk management · CSSF 12/552

Chapitre 6. Le contrôle interne

100. Le contrôle interne est un dispositif composé de règles et de procédures qui ont pour but de s’assurer que les objectifs posés par l’établissement sont atteints, que les ressources sont utilisées de façon efficiente, que les risques sont contrôlés et que le patrimoine est protégé, que l’information financière et l’information de gestion sont correctes, complètes, pertinentes, compréhensibles et disponibles sans délais, que les lois et réglementations ainsi que les politiques et les procédures internes sont respectées, que les demandes et exigences de l’autorité compétente sont respectées 8.

Le dispositif de contrôle interne doit comprendre des processus et procédures efficaces prévenant la fraude et assurant le respect des obligations en matière de lutte contre le blanchiment et le financement du terrorisme. Les établissements devraient évaluer leur exposition au risque d’être abusés à des fins de blanchiment ou de financement du terrorisme, adapter leur dispositif de contrôle au niveau du risque identifié (approche basée sur le risque) et prendre des mesures efficaces d’atténuation visant à réduire ce risque, ainsi que les risques opérationnels et de réputation associés. Le dispositif garantit l’information et la formation adéquate du personnel par rapport à ces risques.

101. Le dispositif de contrôle interne d’un établissement doit être adapté à son organisation et à la nature, à l’échelle et à la complexité de ses activités et des risques associés et respecter les principes du modèle des « trois lignes de défense » :

La première ligne de défense est constituée par les unités opérationnelles qui prennent ou acquièrent des risques, qui assument la responsabilité pour leur gestion et qui contrôlent de manière permanente le respect des politiques, procédures et limites qui leur sont imposées.

8 Les mécanismes de contrôle interne prévoient ainsi des mécanismes destinés à prévenir les erreurs d’exécution et les fraudes et à permettre leur détection rapide. Conformément au principe de proportionnalité, les établissements, dont l’activité de gestion patrimoniale et les activités de services liées notamment à l’administration des OPC sont importantes, définissent des mécanismes de contrôle interne adéquats pour ces activités, notamment pour les domaines de la gestion discrétionnaire, du traitement du courrier domicilié, de la conservation de valeurs de tiers (banque dépositaire), de tenue de comptabilité et de calcul de la valeur nette d’inventaire de fonds d’investissement.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

La seconde ligne est formée par des fonctions de support, comme la fonction financière et comptable, mais surtout les fonctions compliance et de gestion des risques, qui assurent un contrôle indépendant des risques et supportent les unités opérationnelles dans le respect des politiques et procédures qui leur sont applicables.

La troisième ligne est constituée par la fonction d’audit interne qui effectue une évaluation indépendante, objective et critique des deux premières lignes de défense et du dispositif de gouvernance interne dans son ensemble.

Les trois lignes de défense sont complémentaires, chaque ligne de défense assumant ses responsabilités de contrôle indépendamment des autres lignes.

La mise en place d’un dispositif de contrôle interne solide va de pair avec une séparation pertinente des fonctions, tâches et responsabilités, la mise en place d’une gestion des accès à l’information et la séparation physique de certaines fonctions et de certains départements afin de sécuriser les données et les transactions.

Sous-chapitre 6.1. Les contrôles opérationnels

Un environnement de contrôle interne solide comporte les types de contrôles suivants :

Section 6.1.1. Contrôles quotidiens réalisés par le personnel exécutant 102. Les procédures en matière de contrôle interne prévoient que les exécutants contrôlent sur une base quotidienne les opérations qu’ils exécutent, ceci afin de détecter le plus rapidement possible des erreurs et omissions survenues dans le traitement des transactions courantes. On peut citer à titre d’exemples de tels contrôles, la vérification du solde de caisse, la vérification de ses positions par le trader, le suivi de ses suspens par chaque membre du personnel.

Section 6.1.2. Contrôles critiques continus 103. Dans cette catégorie de contrôle tombent notamment :

• le contrôle hiérarchique ; • la validation (par exemple la double signature, les codes d’accès à des fonctionnalités données) associée au contrôle du respect de la procédure d’autorisation et de délégation de pouvoirs arrêtée par la direction autorisée (notamment en matière de crédits) ; • les contrôles réciproques ; • le relevé régulier de l’existence et de la valeur des éléments du patrimoine, notamment au moyen de la vérification des inventaires ; • la réconciliation et la confirmation des comptes ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

• le contrôle de l’exactitude et de l’exhaustivité des données communiquées par les personnes en charge des fonctions commerciales et opérationnelles en vue d’un suivi administratif des opérations ; • le contrôle du respect des limites internes imposées par la direction autorisée (notamment en matière d’activités de marché et de crédits) ; • le caractère normal des opérations conclues notamment quant à leur prix, à leur ampleur, aux garanties éventuelles à recevoir ou à fournir, aux bénéfices générés et aux pertes subies, à l’ampleur des frais de courtage éventuels.

Le bon fonctionnement des contrôles critiques continus n’est garanti que si le principe de la séparation des tâches est respecté.

Section 6.1.3. Contrôles réalisés par les membres de la direction autorisée sur les activités ou fonctions qui tombent sous leur responsabilité directe

104. Les membres de la direction autorisée contrôlent personnellement et de manière régulière les activités et fonctions qui tombent sous leur responsabilité directe. Ces contrôles sont effectués sur base des données qui leur sont remises à cet effet par les fonctions commerciales, de support et de contrôle, ou les différentes unités opérationnelles de l’établissement.

Les points à surveiller plus particulièrement par ces personnes sont notamment :

• les risques liés aux activités et fonctions dont ils sont directement responsables ; • le respect des lois et normes applicables à l’établissement, avec une attention particulière pour les normes prudentielles en matière de solvabilité, de liquidité, d’exposition de crédits non performants, de crédits restructurés et de la réglementation en matière de grands risques ; • le respect des politiques et procédures arrêtées par la direction autorisée ; • le respect des budgets établis : examen des réalisations effectives et des écarts ; • le respect des limites (notamment sur base d’« exception reports ») ; • les caractéristiques des opérations, notamment leur prix, leur rentabilité individuelle ; • l’évolution de la rentabilité globale d’une activité.

Les membres de la direction autorisée informent régulièrement leurs collègues de la direction autorisée sur l’exercice de leur mission de contrôle.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Sous-chapitre 6.2. Les fonctions de contrôle interne

105. Les politiques mises en œuvre en matière de contrôle des risques, de compliance et d’audit interne instaurent trois fonctions de contrôle interne distinctes : d’une part, la fonction de gestion des risques et la fonction compliance qui relèvent de la deuxième ligne de défense et d’autre part, la fonction d’audit interne qui relève de la troisième ligne de défense. Ces politiques décrivent par ailleurs les domaines d’intervention relevant directement de chaque fonction de contrôle interne, règlent clairement les responsabilités en matière de domaines d’intervention communs afin d’éviter les redondances et conflits de compétences, et définissent les objectifs ainsi que l'indépendance, l’autorité, l’objectivité et la permanence des fonctions de contrôle interne.

Section 6.2.1. Responsabilités génériques des fonctions de contrôle interne 106. Les fonctions de contrôle interne ont pour objectif principal de vérifier le respect de l’ensemble des politiques et des procédures internes qui tombent dans leur champ d’attribution, d’en évaluer régulièrement l’adéquation par rapport à la structure organisationnelle et opérationnelle, aux stratégies, aux activités et aux risques de l’établissement ainsi que par rapport aux exigences légales et réglementaires applicables et d’en rendre compte directement à la direction autorisée ainsi qu’à l’organe de surveillance et, le cas échéant, aux comités spécialisés. Elles fournissent à la direction autorisée ainsi qu’à l’organe de surveillance et, le cas échéant, aux comités spécialisés les avis et conseils qu’elles jugent utiles ou qui leur sont demandés par ces organes ou comités. Nonobstant les responsabilités spécifiques en la matière attribuées à la fonction Compliance, toutes les fonctions de contrôle interne contribuent à la lutte efficace contre le blanchiment et le financement du terrorisme.

107. Lorsqu’ils estiment que la gestion efficace, saine ou prudente des activités est compromise, les responsables des fonctions de contrôle interne en informent promptement et de leur propre initiative la direction autorisée et l’organe de surveillance ou les comités spécialisés, le cas échéant.

108. Lorsque l’établissement est tête de groupe, ses fonctions de contrôle interne surveillent et contrôlent les fonctions de contrôle interne des différentes entités du groupe. Les fonctions de contrôle interne de l’établissement veillent à ce que les problèmes, déficiences, irrégularités et risques relevés à travers l’ensemble du groupe soient rapportés aux organes de direction et de surveillance locaux ainsi qu’à la direction autorisée et à l’organe de surveillance de tête de groupe.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Section 6.2.2. Caractéristiques des fonctions de contrôle interne 109. Les fonctions de contrôle interne sont des fonctions permanentes et indépendantes dotées chacune d’une autorité suffisante. Les responsables de ces fonctions ont le droit d’accès direct à l’organe de surveillance ou à son président, ou, le cas échéant, aux comités spécialisés qui en émanent, au réviseur d’entreprises agréé de l’établissement ainsi qu’à l’autorité compétente.

L’indépendance des fonctions de contrôle interne est incompatible avec une situation dans laquelle :

• le personnel des fonctions de contrôle interne est chargé de tâches qu’il est appelé à contrôler ; • la rémunération du personnel des fonctions de contrôle interne est liée à la performance des activités qu’elles contrôlent ou déterminée suivant d’autres critères qui compromettent l’objectivité du travail accompli par les fonctions de contrôle interne ; • les fonctions de contrôle interne sont intégrées d’un point de vue organisationnel dans les unités opérationnelles qu’elles contrôlent ou dépendent hiérarchiquement d’elles ; • les responsables des fonctions de contrôle interne sont subordonnés aux personnes en charge de, ou responsables pour, les activités que les fonctions de contrôle internes sont appelées à contrôler.

110. L’autorité dont doivent jouir les fonctions de contrôle interne requiert que ces fonctions puissent exercer leurs responsabilités de leur propre initiative, s’exprimer librement et accéder à toutes les données et informations externes et internes (dans l’ensemble des unités opérationnelles de l’établissement qu’elles contrôlent) qu’elles jugent nécessaires pour l'accomplissement de leurs missions.

111. Les fonctions de contrôle interne ou les tiers agissant pour compte de ces fonctions doivent effectuer leurs travaux avec objectivité.

Afin de garantir leur objectivité, les personnes relevant de fonctions de contrôle interne possèdent l’indépendance d’esprit ; elles ne doivent pas subordonner leur propre jugement à celui d’autres personnes, dont surtout les personnes contrôlées, et veillent à éviter les conflits d’intérêts.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

112. Les membres des fonctions de contrôle interne doivent posséder un niveau individuel et collectif des connaissances, des compétences et une expérience professionnelles élevées dans le domaine des activités bancaires et financières et plus particulièrement dans leur domaine de responsabilités en ce qui concerne les normes applicables. Conformément au principe de proportionnalité, le niveau de compétences requis augmente en fonction de l’organisation de l’établissement et de la nature, de l’échelle et de la complexité des activités et des risques. La compétence individuelle doit comporter la capacité de porter des jugements critiques et d’être écouté par les directeurs autorisés de l’établissement.

Les fonctions de contrôle interne maintiennent à jour les connaissances acquises et assurent une formation continue et actualisée à chacun de leurs collaborateurs.

En sus de leur expérience professionnelle élevée, les responsables de fonctions de contrôle interne qui accèdent pour la première fois à une telle position possèdent des connaissances théoriques nécessaires.

113. Pour garantir l'exécution des tâches qui leur incombent, les fonctions de contrôle interne disposent des ressources humaines, de l’infrastructure et des budgets nécessaires et suffisants, conformément au principe de proportionnalité. Le budget doit être suffisamment flexible pour tenir compte d’une adaptation des missions des fonctions de contrôle interne en réponse à des changements au niveau de l’organisation, des activités et des risques de l’établissement ou en cas de survenance d’événements spécifiques.

114. Le champ d’intervention des fonctions de contrôle interne couvre l’ensemble de l’établissement, dans le respect de leurs compétences respectives. Il inclut les activités inhabituelles et potentiellement non transparentes.

115. Chaque établissement prend les mesures nécessaires pour assurer que les membres des fonctions de contrôle interne exercent leurs fonctions avec intégrité et discrétion.

Section 6.2.3. Exécution des travaux des fonctions de contrôle interne 116. Les fonctions de contrôle interne documentent les travaux effectués conformément aux responsabilités assignées, notamment afin de permettre de retracer les interventions ainsi que les conclusions retenues.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

117. Les fonctions de contrôle interne rapportent par écrit régulièrement et si nécessaire sur base ad hoc à la direction autorisée et à l’organe de surveillance ou, le cas échéant, aux comités spécialisés. Ces rapports portent sur le suivi des recommandations, problèmes, déficiences et irrégularités relevés par le passé ainsi que sur les nouveaux problèmes, déficiences et irrégularités identifiés. Chaque rapport spécifie les risques y liés ainsi que leur degré de gravité (mesure de l’impact) et propose des mesures correctrices, de même qu’en règle générale une prise de position des personnes concernées.

Chaque fonction de contrôle interne prépare au moins une fois par an un rapport de synthèse sur ses activités et son fonctionnement couvrant l’ensemble des activités qui lui sont attribuées. Au titre des activités, chaque rapport de synthèse fournit le relevé des activités de la fonction depuis le dernier rapport, des principales recommandations adressées à la direction autorisée, des problèmes (existants ou émergents), déficiences et irrégularités majeures survenus depuis le dernier rapport, des mesures prises à leur égard ainsi que le relevé des problèmes, déficiences et irrégularités relevés dans le dernier rapport mais qui n’ont pas encore fait l’objet de mesures correctrices appropriées. Enfin, le rapport se prononce sur l’état de leur domaine de contrôle dans son ensemble. S’agissant du fonctionnement, le rapport se prononce en particulier sur l’adéquation des ressources humaines et techniques internes et la nature et le degré du recours à des ressources humaines et techniques externes ainsi que sur les problèmes éventuels apparus dans ce contexte. Ce rapport est soumis pour approbation à l’organe de surveillance ou aux comités spécialisés compétents pour en assurer le suivi et l’information à l’organe de surveillance ; il est soumis pour information à la direction autorisée.

En cas de problèmes, déficiences et irrégularités graves, les responsables des fonctions de contrôle interne en informent immédiatement la direction autorisée, le président de l’organe de surveillance et les présidents des comités spécialisés, le cas échéant. Dans ces cas, les responsables des fonctions de contrôle interne peuvent demander à être entendus par les comités spécialisés en séance privée.

Les fonctions de contrôle interne vérifient le suivi effectif des recommandations relatives aux problèmes, déficiences et irrégularités qu’elles ont relevées, conformément à la procédure visée au troisième paragraphe du point 57. Elles rapportent de manière régulière à ce sujet à la direction autorisée.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

Section 6.2.4. Organisation des fonctions de contrôle interne 118. Chaque fonction de contrôle interne est placée sous la responsabilité d’un chef de fonction distinct qui est sélectionné, nommé et révoqué suivant une procédure interne écrite. Les nominations et révocations des responsables des fonctions de contrôle interne sont approuvées au préalable par l’organe de surveillance et rapportées par écrit à l’autorité compétente dans le respect de la Procédure prudentielle telle que publiée par la CSSF sur son site internet.

119. Les responsables des trois fonctions de contrôle interne sont responsables vis- à-vis de la direction autorisée et, en dernier ressort, vis-à-vis de l’organe de surveillance pour l’exécution de leur mandat. A ce titre, ces responsables doivent pouvoir contacter directement et de leur propre initiative le président de l’organe de surveillance ou, le cas échéant, le comité spécialisé compétent.

Les responsables des trois fonctions de contrôle interne sont désignés par « Chief Risk Officer » pour la fonction de gestion des risques, « Chief Compliance Officer » pour la fonction compliance et « Chief Internal Auditor » pour la fonction d’audit interne.

120. Une externalisation de la fonction compliance et de la fonction de gestion des risques n'est pas admise.

Il est admissible que l’ensemble des tâches opérationnelles de la fonction d’audit interne soient externalisées par de petits établissements dont le profil de risque est faible et non complexe. Une telle externalisation n’est en principe pas acceptable dans le cas d’établissements qui ont des agences, des succursales ou des filiales.

L’organe de surveillance de l’établissement conserve la responsabilité finale des tâches de l’audit interne qui sont externalisées. Les prestataires de services auxquels les tâches de l’audit interne sont externalisées dépendent et rapportent directement au membre de la direction autorisée en charge de l’audit interne. Ils ont un accès direct à l’organe de surveillance ou, le cas échéant, au président du comité d’audit.

121. Les dispositions du point précédent n'excluent pas que les fonctions de contrôle interne aient ponctuellement recours à l’expertise et aux ressources humaines ou techniques externes ou que l’établissement externalise à un prestataire (faisant partie du même groupe que l’établissement ou non) certaines tâches.

122. Le recours ponctuel à des ressources externes est régi par une procédure interne qui doit permettre en particulier à la direction autorisée et à l’organe de surveillance d’apprécier les dépendances et les risques qui résultent pour l’établissement d’un recours significatif à ces ressources externes.

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

La direction autorisée sélectionne ces ressources externes sur base d’une analyse d’adéquation entre les besoins de l’établissement et les services, le niveau d’objectivité et d’indépendance et les compétences spécifiques offerts par ces experts, qui doivent être indépendants du réviseur d’entreprises et du cabinet de révision agréés de l’établissement ainsi que du groupe dont ces personnes relèvent. L’organe de surveillance approuve les ressources externes sélectionnées par la direction autorisée.

Tout recours ponctuel à des ressources externes doit se faire sur base d’un mandat écrit. Ces experts réalisent leurs travaux dans le respect des dispositions réglementaires et internes qui sont applicables à la fonction de contrôle interne et au domaine de contrôle en question. Ils doivent être placés sous la dépendance du responsable de la fonction de contrôle interne dont relève le domaine contrôlé. Ce responsable supervise les travaux de ces tiers.

123. Toute externalisation de tâches se fait dans le respect des dispositions de la circulaire CSSF 22/806 sur l’externalisation.

124. Lorsqu’en application du principe de proportionnalité, l’établissement peut démontrer qu’il n’est pas justifié de mettre en place une fonction distincte de gestion des risques et une fonction compliance ou de nommer deux responsables à temps plein à la tête de ces deux fonctions, l’établissement peut mettre en place une fonction combinée ou un poste à responsabilité combinée, moyennant accord préalable de l’autorité compétente.

L’application du principe de proportionnalité ne peut cependant conduire au cumul d’autres responsabilités dans le chef d’une personne combinant déjà la responsabilité pour la fonction de gestion des risques et la fonction compliance.

[...]

Luxgap guidance · DPO & CISO

How to comply

The classic trap

Article II.6 of CSSF circular 12/552 is the first article the CSSF audits during an on-site inspection. The trap is not the absence of internal control, it is the inability to demonstrate that the three lines of defence genuinely operate independently. Many Luxembourg institutions have a flawless organisational chart on paper (compliance, risk, internal audit separated), but in practice the first line does not document its daily controls, the second line produces reporting without real challenge, and internal audit follows a three-year rotation disconnected from the actual risk landscape. The CSSF sanctions this duality very concretely: observation letter, remediation injunction, and in serious cases, restriction of the license.

The practical pitfalls the CSSF detects during inspections

No evidence of first-line daily controls: the trader says they check positions, but no timestamp, no proof, no control ticketing system.
Confusion between advisory and control for the second line: the compliance function drafts the procedures and validates them itself, destroying independence.
Non risk-based internal audit plan: internal audit follows a calendar rotation disconnected from the updated risk mapping.
Lack of segregation of duties: the same staff member books a transaction, validates it and reconciles the account, classic on small PSF structures.
Formal AML/CFT controls without a risk-based approach: identical due diligence applied to all clients with no documented scoring.
No incident and exception reporting: controls detect anomalies but they never reach the risk committee or supervisory body.
No tracked remediation: internal audit recommendations are noted but no firm closing follow-up with documentary evidence.

How Luxgap automates this risk

Our Luxgap Three Lines Sentinel makes the theoretical-internal-control scenario impossible by materialising in real time the actual activity of the three lines of defence. The tool connects to your core systems (Olympic, Avaloq, Temenos T24, Sopra Sab, eFront, Multifonds), your Active Directory, your Microsoft Defender, your ticketing platform (ServiceNow, Jira) and your document management (M365, OpenText) to reconstruct the full chain of controls executed, not executed, bypassed or undocumented, and confronts it automatically with the internal control charter approved by your authorised management.

Automatically detects segregation-of-duties breaches by cross-referencing Active Directory rights with Olympic/Avaloq workflows, and alerts on any booking-validation-reconciliation combination performed by the same user.
Measures the real execution rate of first-line daily controls based on system timestamps and produces a dashboard enforceable before the CSSF.
Classifies each detected incident according to the CSSF risk matrix (operational, compliance, AML, reputation) and routes it automatically to the relevant second-line function.
Generates the risk-based internal audit plan pre-filled by cross-referencing the risk mapping, real incidents and blind spots of the first two lines.
Computes a CSSF observation probability score per process, based on the supervisory focus themes of the current year (governance, AML, cloud outsourcing, ICT).
Produces a timestamped, cryptographically sealed PDF report, enforceable during a CSSF on-site mission, demonstrating the operational effectiveness of the framework under article II.6.

Available as a complement to a Luxgap CISO or Compliance Officer mandate or as a standalone SaaS module depending on your perimeter. Request a tailored quote and our teams will prepare a demonstration on your real perimeter, with a free 48-hour blank audit to measure the gap between your declared framework and your executed framework, before any engagement.

Need help?

Our team (lawyers + cyber engineers + developers) supports you. Free quote within 48h.

Chapitre 6 - Le contrôle interne

They trust us

Before we chat