Mise à jour majeure des circulaires CSSF sur les risques TIC et l'externalisation : Implications pour le secteur financier luxembourgeois

Contexte réglementaire et objectifs des mises à jour

La Commission de Surveillance du Secteur Financier (CSSF) a annoncé le 9 avril 2025 une révision significative de ses circulaires concernant la gestion des risques liés aux Technologies de l'Information et de la Communication (TIC) et l'externalisation des services TIC. Cette actualisation s'inscrit dans une démarche d'harmonisation avec le cadre réglementaire européen, notamment DORA (Digital Operational Resilience Act), et vise à renforcer la résilience opérationnelle du secteur financier luxembourgeois.

Principales modifications apportées aux circulaires

Les modifications concernent principalement :

1. Le renforcement des exigences en matière de gouvernance des risques TIC

- Mise en place d'un cadre de gestion des risques TIC plus robuste

- Définition claire des rôles et responsabilités

- Renforcement du reporting aux instances dirigeantes

2. L'encadrement de l'utilisation des services de tiers TIC

- Nouvelles exigences pour la sélection des prestataires

- Renforcement du suivi des prestations externalisées

- Mise en place de plans de continuité spécifiques

3. La sécurité des systèmes d'information

- Renforcement des mesures de cybersécurité

- Amélioration des processus de gestion des incidents

- Tests de résilience réguliers

Impact pour les établissements financiers

Ces modifications impliquent une adaptation significative des pratiques actuelles :

1. Révision des processus internes

- Mise à jour des politiques et procédures

- Renforcement des contrôles

- Formation du personnel

2. Adaptation des relations avec les prestataires

- Révision des contrats d'externalisation

- Renforcement du suivi des prestations

- Mise en place de nouveaux indicateurs de performance

3. Investissements technologiques

- Modernisation des infrastructures

- Renforcement de la sécurité

- Développement des outils de monitoring

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un gap analysis complet entre votre dispositif actuel et les nouvelles exigences des circulaires CSSF

• Mettre en place un plan d'action priorisé pour la mise en conformité, en impliquant toutes les parties prenantes (IT, Risques, Juridique, Compliance)

• Renforcer la documentation et les processus de contrôle liés à l'utilisation des services TIC tiers

• Développer un programme de formation adapté pour sensibiliser les collaborateurs aux nouvelles exigences

• Mettre en place un dispositif de reporting régulier sur l'avancement de la mise en conformité