Cadre européenRGPDNIS 2DORAAI ActLanceurs d'alerte
Circulaires CSSFCSSF 22/806CSSF 25/883CSSF 25/880CSSF 25/881CSSF 25/882CSSF 20/750CSSF 12/552CSSF 11/504
Article 1

Chapitre 1 - Les entités relevant du champ d’application

Circulaire CSSF 20/750 sur les exigences de gestion des risques TIC et de sécurité · CSSF 20/750

Chapitre 1. Les entités relevant du champ d’application ...................................................... 4

Chapitre 2. Définitions.................................................................................................... 4

Chapitre 3. Orientations sur la gestion des risques liés aux TIC et à la sécurité...................... 6

3.1. Proportionnalité ........................................................................................ 6 3.2. Gouvernance et stratégie ........................................................................... 6 3.3. Cadre de gestion des risques liés aux TIC et à la sécurité .............................. 8 3.4. Sécurité de l’information .......................................................................... 10

3.5. Gestion des opérations de TIC .................................................................. 15 3.6. Gestion des projets de TIC et du changement ............................................ 17 3.7. Gestion de la continuité des activités......................................................... 19

Chapitre 4. Date d’application ....................................................................................... 22

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 Chapitre 1. Les entités relevant du champ d’application La présente circulaire est applicable dans son entièreté aux entités suivantes :

a) tous les PSF de support au sens de la loi du 5 avril 1993 relative au secteur financier (« LSF »)

b) tous les PSF spécialisés au sens de la loi du 5 avril 1993 relative au secteur financier (« LSF »)

c) POST Luxembourg régi par la loi du 15 décembre 2000 sur les services financiers postaux 2 et, en tant que prestataire de services de paiement, tel que visé à l’article 1er, point 37) (iii) de la LSP

d) toutes les succursales au Luxembourg d’établissements de crédit ayant leur siège social dans un pays tiers

e) toutes les succursales au Luxembourg d’entreprises d’investissement ayant leur siège social dans un pays tiers

f) toutes les succursales au Luxembourg d’établissements de paiement et d’établissements de monnaie électronique ayant leur siège social dans un pays tiers