I need to bring my Luxembourg organisation into compliance with article IV.1 of CSSF 12/552 (CSSF 12/552). What are the concrete requirements, the sanctions, and how can Luxgap support me?

The classic trapArticle IV.1 of CSSF 12/552 is not just a glossary: it conditions the entire prudential accountability chain. Luxembourg banks are regularly pulled up by the CSSF (and the ECB for SIs) for misclassifying key function holders, failing to notify a CRO/CCO/CIA change through the prudential procedure, or poorly mapping their related parties under point 7). The trap: treating these definitions as theoretical when they actually trigger concrete duties (notification, fit & proper, intragroup exposure reporting, conflicts of interest).Blind spots the CSSF sanctions in practicePoorly mapped related parties: spouses, registered partners, children, parents and entities where a director holds 10% are almost never exhaustively listed, yet they trigger LSF article 53 and CRR intragroup exposure duties.Undeclared key function holders: interim CRO replacements not notified, CCO holding operational duties in parallel, CIA reporting to the CEO instead of the board. EBA/GL/2021/05 requires ex ante notification with a complete fit & proper file.Monistic/dualistic confusion: a board exercising de facto executive functions without its members being declared as authorised managers under LSF article 7.SI/LSI qualification ignored: an LSI crossing the article 59-3 LSF thresholds or the ECB criteria switches to SI status and changes competent authority, with tight remediation deadlines.Senior management under CRD article 3 poorly delineated: some executive committee members not submitted to the fit & proper regime.What CSSF on-site inspectors ask forThe inspector systematically requests three deliverables: (1) the up-to-date nominative list of management body members, authorised managers and key function holders with their prudential nomination date; (2) the related parties register with proof of quarterly update; (3) the hierarchical and functional reporting map of the three internal control functions. Any inconsistency between these three documents and operational reality triggers an immediate observation letter.How Luxgap automates this riskOur Luxgap Governance Mapper eliminates the silent drift between the org chart declared to the CSSF and the reality of your HR reporting lines, by rebuilding every night the complete prudential map of your institution from your source systems. The tool plugs an LLM agent into your Active Directory, HRIS (Workday LU, Sopra Steria HR Suite, SD Worx), RCS registry and board minutes to detect any gap between the official prudential picture and the real state of the organisation.Detects in real time any change of role, reporting line or mandate of a management body member or key function holder through continuous AD and HRIS sync.Rebuilds the exhaustive list of related parties under point 7) by cross-referencing the Luxembourg RCS, the beneficial ownership register (RBE), directors' mandate declarations and declared family links.Classifies each person against the EBA/GL/2021/05 grid (management body in supervisory func...

EU frameworkGDPR NIS 2 DORA AI Act Whistleblowing

CSSF circularsCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750CSSF 12/552CSSF 11/504

Article IV.1

Chapitre 1 - Définitions et abréviations

CSSF Circular 12/552 on central administration, internal governance and risk management · CSSF 12/552

Chapitre 1. Définitions et abréviations

1. On entend aux fins de la présente circulaire par : 1) « autorité compétente » : la Banque centrale européenne (« BCE ») pour les établissements de crédit importants (« significant institutions », « SI ») ou la Commission de Surveillance du Secteur Financier (« CSSF ») pour les établissements de crédit moins importants (« less significant institutions », « LSI ») 2 et les succursales établies au Luxembourg d’établissements de crédit de pays tiers.

La CSSF conserve par ailleurs en tant qu’autorité d’accueil des succursales luxembourgeoises d’établissements de crédit agréés dans un autre Etat membre une responsabilité de contrôle de certains domaines non liés à la surveillance prudentielle bancaire, à savoir notamment la lutte contre le blanchiment et le financement du terrorisme, les règles applicables à la fourniture de services d’investissement et le contrôle des obligations applicables aux dépositaires d’OPC luxembourgeois ;

2) « direction autorisée » ou « directeurs autorisés » : la direction autorisée est assimilée à l’organe de direction dans sa fonction exécutive selon les orientations de l’EBA en matière de gouvernance interne (Guidelines on internal governance « EBA/GL/2021/05 »). Les directeurs autorisés correspondent aux personnes visées à l’article 1er, 7quinqies et à l’article 7 paragraphe 2 de la LSF ainsi qu’à la direction générale, telle que définie à l’article 3 de la CRD ;

D’un point de vue prudentiel, la direction autorisée est responsable de la gestion journalière d’un établissement, conformément aux orientations stratégiques et politiques clés approuvées par l’organe de surveillance. Dans un système moniste, les directeurs autorisés peuvent être également membres du conseil d’administration, alors que dans un système dualiste, la direction autorisée correspond strictement au directoire ;

2 Conformément aux dispositions du règlement UE N°1024/2013 du Conseil du 15 octobre 2013 (« règlement MSU ») confiant à la BCE des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit et du règlement UE N° 468/2014 de la Banque centrale européenne établissant le cadre de la coopération au sein du mécanisme de surveillance unique entre la Banque centrale européenne, les autorités compétentes nationales et les autorités désignées nationales (« règlement-cadre MSU »).

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

3) « établissement » : (i) les établissements de crédit tels que définis à l’article 4, paragraphe 1, point 1) du CRR, y compris leurs succursales, les succursales luxembourgeoises d’établissements de pays tiers ainsi que les succursales luxembourgeoises d’établissements agréés dans un autre Etat membre ; 4) « établissement d’importance significative » : les établissements de crédit d’importance systémique suivant l’article 59-3 de la LSF. Le cas échéant, l'autorité compétente peut déterminer si d’autres établissements de crédit sont à considérer comme étant significatifs aux fins de la présente circulaire sur base de l'évaluation de la taille et de l'organisation interne des établissements ainsi que de la nature, de l’échelle et de la complexité de leurs activités ; 5) « organe de direction » : l’organe de direction correspond à l’organe de direction dans sa fonction de surveillance et dans sa fonction exécutive selon les orientations de l’EBA en matière de gouvernance interne (Guidelines on internal governance « EBA/GL/2021/05 »). Il désigne le conseil d’administration et la direction autorisée d’un établissement pourvu d’une organisation moniste ou le conseil de surveillance et le directoire d’un établissement pourvu d’une organisation dualiste ; 6) « organe de surveillance » : l’organe de surveillance correspond à l’organe de direction dans sa fonction de surveillance selon les orientations de l’EBA en matière de gouvernance interne (Guidelines on internal governance « EBA/GL/2021/05 »). La réglementation du secteur financier alloue aux conseils d’administration et aux conseils de surveillance des établissements de crédit des responsabilités en matière de surveillance et de contrôle, ainsi qu’en matière de détermination et d’approbation des orientations stratégiques et des principes directeurs ; 7) « parties liées » : a. les entités (structures) juridiques appartenant au groupe auquel l’établissement appartient ; b. les actionnaires ; c. les membres de l’organe de direction de l’établissement ou des entités mentionnées au point a., leurs conjoints ou partenaires enregistrés conformément au droit national applicable et leurs enfants et parents ; d. les entités commerciales dans lesquelles un membre de l'organe de direction, ou un membre proche de sa famille tel que visé au point c., détient une participation qualifiée représentant au moins 10 % du capital ou des droits de vote, dans laquelle ces personnes peuvent exercer une influence notable ou dans laquelle ces personnes occupent des postes au sein de la direction générale ou de l'organe de direction ;

16/647, 17/655, 20/750, 20/759, 21/785, 22/807 ET 24/860

8) « Procédure prudentielle » : procédure prudentielle de nomination des membres de l’organe de direction et des titulaires de fonctions clés auprès des établissements de crédit ; 9) « titulaires de fonctions clés » : les responsables des fonctions dont l’exercice permet d’avoir une influence notable sur la conduite ou le contrôle des activités des établissements. Ils comprennent au moins les responsables des trois fonctions de contrôle interne auprès de l’ensemble des établissements, à savoir : le Chief Risk Officer (« CRO ») pour la fonction de gestion des risques, le Chief Compliance Officer (« CCO ») pour la fonction compliance et le Chief Internal Auditor (« CIA ») pour la fonction d’audit interne, ainsi que le responsable de la fonction financière (Chief Financial Officer, « CFO ») auprès des établissements d’importance significative. Les établissements peuvent identifier d’autres titulaires de fonctions clés selon une approche fondée sur les risques ; 10) « transactions avec des parties liées » : ces transactions comprennent tous les types de transactions. Il s’agit non seulement des expositions et créances figurant au bilan et hors bilan, mais aussi des contrats de service, des achats et ventes d’actifs, des contrats de construction, des contrats de crédit-bail, des opérations sur produits dérivés, des emprunts ou encore annulations de créances. Sont à inclure les transactions avec des parties qui, à la suite de la transaction, deviendraient des parties liées ou dont au moment de la transaction, il est avéré que la partie contractante deviendra partie liée; 11) « ESG » : (Risques) environnementaux, sociaux et de gouvernance ; 12) « CEBS » : Committee of European Banking Supervisors ; 13) « CRD » : Directive 2013/36/UE du 26 juin 2013 concernant l'accès à l'activité des établissements de crédit et la surveillance prudentielle des établissements de crédit et des entreprises d'investissement, telle que modifiée ; 14) « CRR » : le règlement européen n° 575/2013 du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d'investissement, tel que modifié ; 15) « EEE » : Espace Economique Européen ; 16) « ICAAP » : Internal Capital Adequacy Assessment Process ; 17) « ILAAP » : Internal Liquidity Adequacy Assessment Process ; 18) « LSF » : la loi modifiée du 5 avril 1993 relative au secteur financier ; 19) « MiFID » : Markets in Financial Instruments Directive.

Luxembourg specificity

loi modifiee du 5 avril 1993 relative au secteur financier (LSF), articles 7, 7quinquies et 59-3

In Luxembourg, the competent authority switches between the ECB (for SIs) and the CSSF (for LSIs and third-country branches) under SSM Regulation 1024/2013. The CSSF retains host-state competence over Luxembourg branches of EU credit institutions for AML/CFT (amended law of 12 November 2004), investment services (LSF) and oversight of UCI depositaries. The amended law of 5 April 1993 on the financial sector (LSF), in particular articles 7, 7quinquies and 59-3, together with the law of 23 July 2015 transposing CRD IV, set out the binding definitions of authorised manager and significant institution.

Luxgap practice: we maintain a live CSSF/ECB/eDesk mapping for every banking client and automatically trigger the prudential notification procedure as soon as a key function change is detected in the HRIS, with an eDesk filing prepared within 48h.

Luxgap guidance · DPO & CISO

How to comply

The classic trap

Article IV.1 of CSSF 12/552 is not just a glossary: it conditions the entire prudential accountability chain. Luxembourg banks are regularly pulled up by the CSSF (and the ECB for SIs) for misclassifying key function holders, failing to notify a CRO/CCO/CIA change through the prudential procedure, or poorly mapping their related parties under point 7). The trap: treating these definitions as theoretical when they actually trigger concrete duties (notification, fit & proper, intragroup exposure reporting, conflicts of interest).

Blind spots the CSSF sanctions in practice

Poorly mapped related parties: spouses, registered partners, children, parents and entities where a director holds 10% are almost never exhaustively listed, yet they trigger LSF article 53 and CRR intragroup exposure duties.
Undeclared key function holders: interim CRO replacements not notified, CCO holding operational duties in parallel, CIA reporting to the CEO instead of the board. EBA/GL/2021/05 requires ex ante notification with a complete fit & proper file.
Monistic/dualistic confusion: a board exercising de facto executive functions without its members being declared as authorised managers under LSF article 7.
SI/LSI qualification ignored: an LSI crossing the article 59-3 LSF thresholds or the ECB criteria switches to SI status and changes competent authority, with tight remediation deadlines.
Senior management under CRD article 3 poorly delineated: some executive committee members not submitted to the fit & proper regime.

What CSSF on-site inspectors ask for

The inspector systematically requests three deliverables: (1) the up-to-date nominative list of management body members, authorised managers and key function holders with their prudential nomination date; (2) the related parties register with proof of quarterly update; (3) the hierarchical and functional reporting map of the three internal control functions. Any inconsistency between these three documents and operational reality triggers an immediate observation letter.

How Luxgap automates this risk

Our Luxgap Governance Mapper eliminates the silent drift between the org chart declared to the CSSF and the reality of your HR reporting lines, by rebuilding every night the complete prudential map of your institution from your source systems. The tool plugs an LLM agent into your Active Directory, HRIS (Workday LU, Sopra Steria HR Suite, SD Worx), RCS registry and board minutes to detect any gap between the official prudential picture and the real state of the organisation.

Detects in real time any change of role, reporting line or mandate of a management body member or key function holder through continuous AD and HRIS sync.
Rebuilds the exhaustive list of related parties under point 7) by cross-referencing the Luxembourg RCS, the beneficial ownership register (RBE), directors' mandate declarations and declared family links.
Classifies each person against the EBA/GL/2021/05 grid (management body in supervisory function, executive function, authorised management, key function holder, senior management under CRD article 3) and flags ambiguities.
Generates a pre-filled prudential notification file (fit & proper form, CV, criminal record, sworn statement, conflicts of interest) ready to be filed on the CSSF eDesk.
Monitors the SI/LSI thresholds of LSF article 59-3 and alerts the corporate secretary as soon as an indicator (total assets, cross-border exposure, economic importance) approaches the switch to ECB supervision.
Produces a timestamped, cryptographically sealed PDF report, enforceable before the CSSF during an on-site inspection, demonstrating continuous compliance with article IV.1.

Available as a complement to a Luxgap DPO or CISO mandate or as a dedicated SaaS module depending on your scope. Request a tailored quote and our teams will prepare a demonstration on your real org chart, with a free blind audit within 48h to measure the gaps between your prudential declaration and operational reality before any commitment.

Need help?

Our team (lawyers + cyber engineers + developers) supports you. Free quote within 48h.

Chapitre 1 - Définitions et abréviations

They trust us

Before we chat