Comment se conformer à l'article M.3 du CSSF 25/883 ?

Question

Je dois mettre mon organisation luxembourgeoise en conformite à l'article M.3 du CSSF 25/883 (CSSF 25/883). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Accepted Answer

Le piège classiqueLa restructuration en quatre cas semble simple sur le papier, mais en pratique la CSSF sanctionné lors de ses contrôles thematiques les entités qui se trompent de case. Le piège le plus frequent : une société de gestion qui géré a la fois des OPCVM (article 101-1, dans DORA) et des FIA sous article 125-1 (hors DORA), et qui applique le mauvais regime a son externalisation TIC. Autre piège classique : une entité financiere DORA qui continue d'appliquer la partie II de 22/806 a ses contrats TIC anciens, generant des clauses contractuelles incompatibles avec les exigences DORA (notamment articles 28 a 30 du règlement UE 2022/2554). La CSSF attend une cartographie ecrite qui justifie le rattachement de chaque contrat d'externalisation au bon regime.Le test de qualification : a quel cas appartient votre entité ?Cas a (DORA + 22/806 historique complet) : établissements de crédit, entreprises d'investissement de classe 1/1bis/2, PSF de support qui faisaient deja l'objet de la 22/806 sur tout type d'externalisation. Vous appliquez DORA pour le TIC et la partie I de 22/806 pour le non-TIC (RH externalisées, comptabilite, gestion immobiliere).Cas b (hors DORA, 22/806 integrale) : entités surveillees CSSF non listees a l'article 2 DORA. Vérifier explicitement votre statut, car la liste DORA est restrictive.Cas c (DORA exclusivement) : entités qui n'etaient soumises a 22/806 que pour leur externalisation TIC. Elles basculent intégralement sous DORA et sortent du champ 22/806.Cas d (sociétés de gestion article 125-1) : autorisation limitee chapitre 16 Loi OPC, hors DORA, donc 22/806 reste integrale y compris pour le TIC.Les pièges contractuels a corriger immediatementIdentifier les contrats TIC signes avant 2025 sous clauses 22/806 partie II et lancer la renegociation pour aligner sur les articles 28 a 30 DORA (droit d'audit renforce, sortie ordonnee, sous-traitance en cascade tracee).Distinguer dans le registre des contrats ceux qui relevent du non-TIC (partie I 22/806) de ceux qui relevent du TIC (DORA ou partie II selon le cas).Reverifier la qualification des contrats hybrides (ex : prestation comptable avec composante SaaS) qui peuvent basculer sous DORA via la notion de service TIC au sens de l'article 3(21) DORA.Comment Luxgap automatise ce risqueNotre Luxgap DORA Scope Classifier elimine l'incertitude de qualification en determinant automatiquement a quel cas (a/b/c/d) appartient votre entité et chacun de vos contrats d'externalisation. L'outil croise votre agrement CSSF (registre public), votre portefeuille de services TIC extrait de vos contrats fournisseurs (Odoo, DocuWare, SharePoint Légal) et la grille de l'article 3(21) DORA pour produire un arbre de décision opposable, contrat par contrat.Classifie chaque entité juridique du groupe dans l'un des quatre cas CSSF 25/883 en analysant son agrement (établissement de crédit, PSF, société de gestion 101-1 vs 125-1, gestionnaire de FIA) extrait du registre CSSF.Scanne automatiquemen...

Modification 3, champ d'application restructure en quatre cas (DORA / hors DORA)

Ils nous font confiance

Avant de discuter