Chapitre 2 - Évaluation des TIC des PSP (« PSP ICT
Circulaire CSSF 25/880 sur la gestion des relations avec les utilisateurs de services de paiement et l'évaluation TIC des PSP · CSSF 25/880
Chapitre 2. Évaluation des TIC des PSP (« PSP ICT Assessment ») 8. Conformément à l’article 105-1, paragraphe 2, de la LSP, les PSP ont l’obligation de fournir à la CSSF une évaluation des risques à jour et exhaustive en matière de services de paiement (ci-après « PSP ICT Assessment »). La CSSF a développé un formulaire standardisé pour le PSP ICT Assessment à utiliser par tous les PSP. L’objectif de ce formulaire standardisé du PSP ICT Assessment est de mettre à la disposition des PSP des lignes directrices sur les attentes de la CSSF par rapport aux informations à fournir par le biais du PSP ICT Assessment, et ainsi atteindre un certain degré d’harmonisation et de comparabilité entre les différents PSP ICT Assessments.
9. En ce qui concerne le champ d’application du PSP ICT Assessment, il est à noter que :
a) Les établissements dont le modèle d’affaires n’inclut pas la prestation de services de paiement (tels que définis à l’article 1er, point 38), de la LSP), n’ont pas à fournir de PSP ICT Assessment. À partir du moment où le modèle d’affaires d’un établissement
6 Tels que définis à l’article 1er, point 46), de la LSP
comprend la prestation de services de paiement, l’établissement doit soumettre à la CSSF, pour l’année civile en question, un PSP ICT Assessment. b) Les succursales originaires d’un État membre de l’EEE établies au Luxembourg, qui offrent des services de paiement, n’ont pas à fournir de PSP ICT Assessment à la CSSF. Par contre, les PSP luxembourgeois qui ont établi des succursales dans d’autres pays de l’EEE et qui fournissent des services de paiement, doivent inclure ces succursales dans leur PSP ICT Assessment. Dans le cas de figure où l’évaluation des risques liés aux TIC et à la sécurité pour ces succursales s’écarte de celle du PSP, ceci est à préciser dans le PSP ICT Assessment 7.
10. Tous les PSP doivent soumettre le formulaire PSP ICT Assessment, dûment complété, à la CSSF sur une base annuelle, au plus tard le 31 mars de chaque année et couvrant l’année civile précédente.
11. Le formulaire PSP ICT Assessment est disponible sur le portail eDesk de la CSSF à l’adresse suivante : https://edesk.apps.cssf.lu/.
Le PSP ICT Assessment doit être validé par l’organe de direction du PSP, c’est-à-dire au moins par le membre de l’organe de direction responsable de la fonction TIC. Cette validation est à préciser dans la section du PSP ICT Assessment y relative.
Le PSP ICT Assessment, dûment complété et validé, doit être soumis sur une base annuelle par un membre de l’organe de direction à la CSSF exclusivement par le portail eDesk de la CSSF.
Au Luxembourg, l'obligation decoule directement de l'article 105-1, paragraphe 2, de la LSP (loi du 10 novembre 2009 relative aux services de paiement), précisée par la Circulaire CSSF 25/880 du 9 avril 2025. La soumission se fait exclusivement via le portail eDesk de la CSSF, au plus tard le 31 mars de chaque annee pour l'annee civile précédente, et doit être validee puis deposee par un membre de l'organe de direction. Le formulaire standardisé s'inscrit dans le paquet DORA et complète vos obligations TIC sectorielles.
Pratique Luxgap : verrouillez des janvier la chaîne de validation (qui valide la section TIC, qui depose sur eDesk) et reconciliez chaque réponse avec une preuve technique horodatee, car c'est l'ecart déclaratif/reel que la CSSF exploite en cas de contrôle.