Couverture Luxgap RGPD NIS 2 DORA AI Act Lanceurs d'alerte CSSF 22/806
Article II.1.1

Sous-chapitre 1.1 Exigences applicables aux Entites concernees autres que les PSF de support

Circulaire CSSF 22/806 sur l'externalisation (modifiée par CSSF 25/883) · CSSF 22/806

PSF de support autorisés conformément aux articles 29-3, 29-5 et 29-6 de la LSF et leurs succursales à l’étranger

121. Sans préjudice du point 119 ci-dessus, les Entités concernées peuvent externaliser leurs services de gestion/d’opération de systèmes de TIC :

a. au Luxembourg 33, uniquement auprès d’un établissement de crédit ou d’un professionnel du secteur financier agréé en tant que PSF de support conformément à l’article 29-3 de la LSF (opérateurs de systèmes informatiques et de réseaux de communication du secteur financier - « OSIRC ») ; la seule exception autorisée en vertu de l’article 1-1, paragraphe 2, point c, de la LSF est le recours à une entité du groupe auquel l’Entité concernée appartient et qui traite exclusivement des opérations du groupe ;

b. à l’étranger, à tout prestataire de services TIC, y compris une entité du groupe auquel appartient l’Entité concernée.

122. Les Entités concernées peuvent externaliser les services TIC autres que les services de gestion/d’opération de systèmes de TIC à tout prestataire de services TIC, y compris à une entité du groupe fournissant des services TIC ou à un PSF de support. De tels dispositifs d’externalisation doivent être mis en place conformément aux exigences énoncées au point 119 ci-dessus. En particulier, si le prestataire de services n’est pas autorisé à accéder aux données soumises au secret professionnel conformément à l’article 41, paragraphe 2bis,

33 Conformément à la LSF, l’opération de systèmes de TIC pour les établissements de crédit, professionnels du secteur financier, établissements de paiement, établissements de monnaie électronique, OPC, fonds de pension, entreprises d’assurance ou de réassurance de droit luxembourgeois ou étranger est une activité régulée qui nécessite une autorisation pour pouvoir être exercée au Luxembourg.

de la LSF ou à l’article 30, paragraphe 2bis, de la LSP, le cas échéant, le prestataire de services peut avoir accès à ces données seulement s’il est supervisé, tout au long de sa mission, par une personne de l’Entité concernée en charge des TIC.