← Toutes les lois

Conformité · Amendement CSSF

CSSF 25/883, l'amendement qui aligne 22/806 sur DORA.

La circulaire CSSF 25/883 du 9 avril 2025 modifie la circulaire CSSF 22/806 pour aligner ses exigences avec le règlement DORA (UE 2022/2554), applicable depuis le 17 janvier 2025. Quatre modifications structurantes, applicables immédiatement, pour éviter la double conformité entre 22/806 et DORA.

Configurer mon devis → Nous contacter
Explorateur Luxgap
Naviguez les 5 articles de la loi, avec conseil pratique Luxgap
Explorer les articles →

Qui est concerné ?

Mêmes destinataires que la CSSF 22/806 : établissements de crédit et PSF (LSF), établissements de paiement et de monnaie électronique (LSP), gestionnaires de fonds d'investissement (CSSF 18/698), sociétés de gestion OPCVM, contreparties centrales (CCP), dispositifs de publication agréés (APA) et mécanismes de déclaration agréés (ARM), opérateurs de marché, dépositaires centraux de titres (CSD), administrateurs d'indices de référence d'importance critique.

Concrètement, le périmètre se divise en quatre cas, selon que l'entité est ou non dans le champ DORA et selon le type d'externalisation (TIC ou non).

Obligations clés

  • Modification 1 : l'introduction de la 22/806 reformulée pour refléter l'entrée en application de DORA.
  • Modification 2 : ajout d'une définition formelle du règlement DORA dans la partie I chapitre 1.
  • Modification 3 : champ d'application restructuré en 4 cas (entités DORA, entités hors DORA, entités retirées, sociétés de gestion article 125-1).
  • Modification 4 : suppression des clauses contractuelles spécifiques cloud computing (loi EEA et résilience EEA), désormais couvertes par DORA.
  • Lecture conjointe avec la circulaire CSSF 25/882 sur les exigences relatives à l'utilisation de services TIC tiers pour les entités financières soumises à DORA.

Échéances

La circulaire CSSF 25/883 est en vigueur depuis le 9 avril 2025, application immédiate. Le règlement DORA auquel elle s'aligne est applicable depuis le 17 janvier 2025. Les entités concernées doivent dès maintenant identifier dans quel cas (a, b, c ou d) elles se situent et adapter leur cartographie d'externalisation en conséquence.

Sanctions en cas de non-conformité

La 25/883 ne crée pas de sanctions spécifiques : elle modifie 22/806 dont le régime de sanctions reste applicable (injonctions de mise en conformité, sanctions administratives, restrictions ou suspension d'agrément, sanctions pécuniaires, retrait d'agrément pour les manquements graves).

En revanche, pour les exigences TIC qui basculent sous DORA (cas a et c), ce sont désormais les sanctions DORA qui s'appliquent : jusqu'à 1 % du chiffre d'affaires journalier mondial moyen pour les prestataires tiers TIC critiques, avec amendes journalières en cas de non-respect des injonctions.

Comment Luxgap vous aide

Nous accompagnons les entités CSSF dans le diagnostic 25/883 et l'articulation 22/806 / DORA :

  • Audit de positionnement : dans quel cas (a/b/c/d) vous trouvez-vous ? Quelle partie de votre dispositif d'externalisation tombe sous DORA, sous 22/806, ou sous les deux ?
  • Mise à jour de la politique d'externalisation et du registre des prestataires pour refléter les modifications de 25/883 et l'articulation avec DORA.
  • Migration des clauses contractuelles cloud : adaptation des contrats vers le cadre DORA (article 28 et clauses contractuelles obligatoires DORA).
  • Préparation aux contrôles CSSF intégrant la dimension 25/883 + DORA + CSSF 25/882.

Diagnostiquons votre positionnement 25/883.

Configurez un devis pour un audit de positionnement 22/806 / DORA, ou pour une mise en conformité globale incluant la 25/883 et la 25/882. Réponse sous 24 h ouvrées.

Configurer mon devis →