Le 9 avril 2025, la CSSF a publié une série de circulaires alignant son cadre réglementaire sur le règlement européen DORA (Digital Operational Resilience Act), en vigueur depuis le 17 janvier 2025. Ces mises à jour visent à supprimer les chevauchements réglementaires et à clarifier les obligations des entités supervisées. Les nouvelles circulaires font également une distinction claire entre les entités couvertes par DORA et les autres, avec des exigences réglementaires adaptées à chaque catégorie.

  1. Gestion des risques TIC
    • S’applique uniquement aux entités non-DORA (PSF de support, POST Luxembourg, succursales de PSP de pays tiers).
    • Les obligations spécifiques aux PSP sont désormais regroupées dans une circulaire dédiée.
    • Vise tous les PSP soumis à la LPS.
    • Formalise les attentes sur la relation avec les utilisateurs de services de paiement (PSU).
    • Maintient l’exigence annuelle de déclaration PSP ICT Assessment via eDesk, avant le 31 mars.
  1. Externalisation et prestataires TIC tiers
    • N’est plus applicable aux entités DORA pour les externalisations TIC.
    • Reste pleinement applicable aux entités non-DORA, y compris pour l’externalisation TIC.
    • Fixe les règles applicables aux entités DORA utilisant des prestataires TIC tiers.
    • Précise :
      • Les délais de notification (3 mois ou 1 mois pour PSF de support),
      • Les modalités du registre d’information (soumission entre le 1er et le 15 avril chaque année),
      • Les exigences spécifiques en cloud computing, dont la désignation d’un cloud officer.
    • La CSSF maintient la distinction entre services cloud et non-cloud.

Des formulaires de notification actualisés sont disponibles sur le site de la CSSF (différents pour les entités DORA et non-DORA).

Un webinar dédié à ces évolutions réglementaires sera organisé prochainement.