Comment se conformer à l'article 1 du CSSF 25/881 ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article 1 du CSSF 25/881 (CSSF 25/881). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueL'article 1 de la circulaire CSSF 25/881 définit le périmètre d'application : PSF de support, PSF spécialisés, POST Luxembourg, et succursales d'établissements de pays tiers. Le piège classique observé par la CSSF est la double erreur de cadrage : soit l'entité se croit hors champ (typiquement une succursale luxembourgeoise d'un groupe extra-UE qui pense que la conformité maison suffit), soit elle applique le socle 20/750 sans intégrer les ajouts DORA déclenchés par la circulaire 25/881. Dans les deux cas, la CSSF sanctionné lors des inspections sur place par des constats formels et des plans d'action contraignants, avec possibilité d'amendes administratives sur le fondement de la LSF.Les pièges concrets de qualificationUne succursale d'un établissement de crédit d'un pays tiers (Suisse, UK, USA) qui s'appuie sur le framework risques TIC du siège, sans démontrer son adéquation aux exigences CSSF 20/750 modifiée.Un PSF de support (agent de communication à la clientèle, opérateur de systèmes informatiques primaires) qui sous-estimé la portée du chapitre 3 sur la gouvernance TIC parce qu'il se considère comme un simple prestataire technique.POST Luxembourg pour son activité de prestataire de services de paiement, où la frontière entre périmètre postal historique et périmètre LSP doit être tracée précisément.La superposition mal gérée entre CSSF 20/750 modifiée, le règlement DORA (applicable depuis le 17 janvier 2025) et la circulaire CSSF 24/847 sur la notification d'incidents : les entités hors champ DORA restent sous 20/750 modifiée, et inversement.L'oubli de mettre à jour la cartographie des entités du groupe lors d'un changement de statut (passage de PSF spécialisé à établissement de crédit, ouverture d'une succursale).Comment Luxgap automatise ce risqueNotre Luxgap Regulatory Scope Mapper élimine définitivement le risque de mauvaise qualification réglementaire en croisant en temps réel votre statut CSSF, vos activités déclarées au registre de commerce, vos flux opérationnels et la matrice complète des textes applicables (CSSF 20/750 modifiée, DORA, NIS 2, LSF, LSP, loi POST). L'outil interroge automatiquement les API publiques du LBR, du registre CSSF des entités surveillées, et croise vos connecteurs internes (Active Directory pour les filiales, Odoo ou SAP pour les contrats de prestation intra-groupe) pour produire la cartographie réglementaire opposable de votre périmètre luxembourgeois.Détecte automatiquement votre statut CSSF actuel et tous les textes applicables, en distinguant socle 20/750 modifiée, DORA, NIS 2 et lex specialis sectorielle.Classifie chaque entité du groupe (filiale, succursale UE, succursale pays tiers, prestataire intra-groupe) selon les six catégories de l'article 1 et déclenche les exigences spécifiques associées.Alerte en moins de cinq minutes via Teams ou email dès qu'un changement de statut, une nouvelle activité ou une nouvelle entité fait basculer le périmètre vers un texte additionnel.Génère...

Chapitre 1 - Les entités relevant du champ d’application

Ils nous font confiance

Avant de discuter