Circulaire CSSF 25/878 : Nouvelles exigences pour la gestion des risques liés aux TIC et à la sécurité

Contexte et objectifs de la circulaire

La Commission de Surveillance du Secteur Financier (CSSF) luxembourgeoise a publié la circulaire 25/878 qui établit de nouvelles exigences en matière de gestion des risques liés aux technologies de l'information et de la communication (TIC) et à la sécurité. Cette circulaire s'inscrit dans le cadre de la mise en œuvre du règlement DORA (Digital Operational Resilience Act) et vise à renforcer la résilience opérationnelle numérique du secteur financier.

Points clés de la circulaire

La circulaire détaille plusieurs aspects essentiels :

1. Gouvernance et stratégie :

- Mise en place d'un cadre de gouvernance robuste pour la gestion des risques TIC

- Définition claire des rôles et responsabilités

- Intégration de la stratégie TIC dans la stratégie globale de l'entreprise

2. Gestion des risques TIC :

- Identification et évaluation systématique des risques

- Mise en place de contrôles et de mesures d'atténuation

- Surveillance continue et reporting régulier

3. Sécurité de l'information :

- Renforcement des mesures de cybersécurité

- Protection des données sensibles

- Gestion des accès et des identités

4. Gestion des incidents :

- Procédures de détection et de réponse aux incidents

- Plans de continuité d'activité

- Obligations de notification à la CSSF

Impact sur les établissements financiers

Les établissements financiers luxembourgeois devront :

- Revoir leurs dispositifs actuels de gestion des risques TIC

- Renforcer leurs systèmes de contrôle interne

- Former leur personnel aux nouvelles exigences

- Mettre à jour leur documentation interne

Calendrier de mise en conformité

La circulaire prévoit une période de transition pour permettre aux établissements de se mettre en conformité avec les nouvelles exigences. Les principales échéances sont :

- Évaluation initiale : 6 mois

- Plan d'action : 12 mois

- Mise en conformité complète : 24 mois

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

1. Réaliser un gap analysis complet entre votre dispositif actuel et les nouvelles exigences de la circulaire

2. Établir une feuille de route détaillée pour la mise en conformité, incluant les ressources nécessaires

3. Renforcer la coordination entre les équipes IT, risques et conformité

4. Mettre en place un système de reporting régulier sur l'avancement de la mise en conformité

5. Former les équipes aux nouvelles exigences et sensibiliser l'ensemble du personnel aux enjeux de cybersécurité