EU frameworkGDPRNIS 2DORAAI ActWhistleblowing
CSSF circularsCSSF 22/806CSSF 25/883CSSF 25/880CSSF 25/881CSSF 25/882CSSF 20/750CSSF 12/552CSSF 11/504
Article 1

Chapitre 1 - Les entités relevant du champ d’application

CSSF Circular 25/881 amending CSSF 20/750 on ICT and security risk management · CSSF 25/881

Chapitre 1. Les entités relevant du champ d’application ...................................................... 4

Chapitre 2. Définitions.................................................................................................... 4

Chapitre 3. Orientations sur la gestion des risques liés aux TIC et à la sécurité...................... 7

3.1. Proportionnalité ........................................................................................ 7 3.2. Gouvernance et stratégie ........................................................................... 7 3.3. Cadre de gestion des risques liés aux TIC et à la sécurité .............................. 9 3.4. Sécurité de l’information .......................................................................... 12

3.5. Gestion des opérations de TIC .................................................................. 16 3.6. Gestion des projets de TIC et du changement ............................................ 19 3.7. Gestion de la continuité des activités......................................................... 21

Chapitre 4. Date d’application ....................................................................................... 24

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 Chapitre 1. Les entités relevant du champ d’application La présente circulaire est applicable dans son entièreté aux entités suivantes :

a) tous les PSF de support au sens de la loi du 5 avril 1993 relative au secteur financier (« LSF »)

b) tous les PSF spécialisés au sens de la loi du 5 avril 1993 relative au secteur financier (« LSF »)

c) POST Luxembourg régi par la loi du 15 décembre 2000 sur les services financiers postaux2 et, en tant que prestataire de services de paiement, tel que visé à l’article 1 er, point 37) (iii) de la LSP

d) toutes les succursales au Luxembourg d’établissements de crédit ayant leur siège social dans un pays tiers

e) toutes les succursales au Luxembourg d’entreprises d’investissement ayant leur siège social dans un pays tiers

f) toutes les succursales au Luxembourg d’établissements de paiement et d’établissements de monnaie électronique ayant leur siège social dans un pays tiers

Luxembourg specificity
loi modifiée du 5 avril 1993 relative au secteur financier (LSF) et loi modifiée du 15 décembre 2000 sur les services financiers postaux

In Luxembourg, article 1 of CSSF circular 25/881 targets a specifically Luxembourgish scope absent from the EBA baseline: support PFS (article 29-1 to 29-6 LSF) and specialised PFS (articles 25 to 28-12 LSF) are statuses unique to Luxembourg law, without direct equivalent in other Member States. POST Luxembourg is also expressly covered due to the amended law of 15 December 2000 on postal financial services and its status under the LSP. The CSSF has direct administrative sanction power via article 63 of the LSF.

Luxgap practice: for any Luxembourg-law entity, qualification must explicitly address the relevant PFS status (support vs specialised) because the proportional requirements of chapter 3.1 apply differently depending on the nature of the outsourced activity.