Comment se conformer à l'article M.1 du CSSF 25/883 ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article M.1 du CSSF 25/883 (CSSF 25/883). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLa modification de l'introduction de la 22/806 parait cosmetique, elle ne l'est pas. Les entités financieres luxembourgeoises (banques, PSF, fonds, fintechs) doivent desormais cartographier chaque contrat d'externalisation selon deux axes : nature TIC ou non-TIC, et entité dans le champ DORA ou hors champ. La CSSF sanctionné, lors de ses contrôles SREP et inspections sur place, les acteurs qui appliquent encore la 22/806 a un contrat TIC alors que DORA s'impose, ou inversement qui invoquent DORA pour un contrat non-TIC qui reste sous 22/806.La matrice d'articulation 22/806 / DORA en pratiqueEntité DORA + contrat TIC : DORA s'applique (registre d'information article 28, tests de résilience, clauses contractuelles article 30), la 22/806 ne s'applique plus sur ce contrat.Entité DORA + contrat non-TIC (services juridiques, conseil, RH, nettoyage critique) : 22/806 reste intégralement applicable.Entité hors DORA (certains PSF spécialisés, sociétés de gestion article 125-1 OPCVM dans les cas prévus) : 22/806 reste la base pour TIC et non-TIC.Risque de double regime : un contrat mixte (ex : prestataire RH avec composante SaaS RH critique) doit être dissocie ou rattache au regime le plus exigeant.Notification préalable CSSF : les seuils et délais differents entre 22/806 (notification ex ante pour externalisation critique ou importante) et DORA (registre d'information, notification fonctions critiques ou importantes) doivent être traces contrat par contrat.Comment Luxgap automatise ce risqueNotre Luxgap DORA Boundary Mapper rend impossible l'erreur de qualification entre 22/806 et DORA en analysant automatiquement chaque contrat d'externalisation de votre portefeuille et en lui assignant un regime unique opposable. Un agent LLM spécialisé lit vos contrats stockes dans SharePoint, Odoo Contracts, DocuSign ou iManage, croise avec la nomenclature TIC de l'EBA et la définition fonctionnelle DORA article 3(21), puis produit une matrice de qualification horodatee, prete pour contrôle CSSF.Scanne l'intégralité de votre portefeuille contractuel (SharePoint, DocuSign, Odoo, iManage, Ironclad) et qualifié chaque contrat en TIC critique, TIC non-critique, ou non-TIC selon la grille DORA et la circulaire 22/806.Determine automatiquement votre statut d'entité DORA en croisant votre code NACE, votre agrement CSSF et les exclusions article 2 du règlement DORA.Detecte les contrats mixtes (TIC + non-TIC) et propose une stratégie de dissociation contractuelle ou de rattachement au regime le plus strict.Genere automatiquement le registre d'information DORA article 28 à partir des contrats qualifiés TIC, au format ITS EBA attendu par la CSSF.Alerte en temps reel via Teams ou email des qu'un nouveau contrat signe dans DocuSign sort du cadre de qualification existant et nécessité arbitrage.Produit un rapport PDF horodate cryptographiquement scelle, opposable en inspection CSSF, qui documente la qualification de chaque contrat avec sa justification réglemen...

Modification 1, introduction de la 22/806 reformulee pour refleter DORA

Ils nous font confiance

Avant de discuter