Comment se conformer à l'article M.0 du CSSF 25/883 ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article M.0 du CSSF 25/883 (CSSF 25/883). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLa 25/883 entre en vigueur immediatement le 9 avril 2025 et redistribue les règles d'externalisation entre quatre regimes paralleles selon que vous êtes soumis a DORA, hors DORA, sous statut retire ou société de gestion article 125-1. La CSSF sanctionné les entités qui appliquent encore la version pre-25/883 de la circulaire 22/806, qui dupliquent les clauses contractuelles cloud desormais couvertes par DORA (loi applicable EEA, résilience EEA), ou qui n'ont pas mis à jour leur registre d'externalisation pour distinguer les contrats TIC sous DORA des autres externalisations restees sous 22/806. Le piège est silencieux : pas de délai de mise en conformité, pas de période transitoire, la circulaire s'applique des sa publication.La cartographie des 4 regimes a maîtriser immediatementEntités DORA (banques, PSF, établissements de paiement et monnaie électronique, gestionnaires de fonds, CCP, CSD, operateurs de marché, administrateurs d'indices critiques) : externalisations TIC sous DORA + règlements délégués, externalisations non-TIC restent sous 22/806.Entités hors DORA : 22/806 integral, y compris pour les externalisations TIC.Entités retirees : regime transitoire spécifique.Sociétés de gestion OPCVM article 125-1 : application partielle de 22/806.La CSSF 25/882 doit être lue conjointement et détaillé les exigences TIC tiers pour les entités DORA.Le registre d'externalisation doit être scinde en deux flux : registre DORA (article 28 du règlement) et registre 22/806 (externalisations non-TIC).Le test du 9 avril : etes-vous deja en infraction ?Si votre politique d'externalisation date d'avant le 9 avril 2025 et ne référence pas DORA, si vos clauses contractuelles cloud contiennent encore les exigences EEA supprimees, ou si votre registre ne distingue pas les contrats TIC DORA des autres : vous êtes de facto non conforme et exposes en cas de contrôle CSSF ou d'incident TIC majeur a déclarer sous DORA.Comment Luxgap automatise ce risqueNotre Luxgap DORA Regime Router elimine la confusion entre les quatre regimes d'externalisation introduits par la 25/883 en classifiant automatiquement chacun de vos contrats fournisseurs dans le bon couloir réglementaire (DORA, 22/806 residuel, 25/882) et en generant les clauses contractuelles adaptees. L'outil pull en continu vos contrats depuis Odoo, DocuSign, SharePoint ou votre GED, croise les metadonnees avec votre statut CSSF (banque, PSF, PSP, gestionnaire de fonds, CSD) et un agent LLM spécialisé lit chaque contrat pour determiner s'il s'agit d'un service TIC au sens de DORA article 3(21) ou d'une externalisation non-TIC restee sous 22/806.Classifie automatiquement chaque contrat fournisseur dans l'un des quatre regimes 25/883 (entité DORA / hors DORA / retiree / société de gestion 125-1) en croisant votre agrement CSSF et la nature du service.Detecte les clauses obsoletes supprimees par 25/883 (loi applicable EEA, résilience EEA cloud) encore presentes dans vos contrats et propose les avenan...

Preambule, destinataires et entree en vigueur (9 avril 2025)

Ils nous font confiance

Avant de discuter