14 October 2021
Communiqué

Communiqué regarding the publication of Circular CSSF 21/785 on the replacement of the prior authorisation obligation by a prior notification obligation in the case of material IT outsourcing (only in French)

1. Conformément au point 8 de la circulaire CSSF 21/785, le présent communiqué définit les mesures transitoires concernant les demandes d’autorisation de sous-traitance informatique matérielle soumises à la CSSF avant la date d’entrée en vigueur de la circulaire CSSF 21/785.

2. Pour les entités surveillées ayant soumis leurs demandes d’autorisation de sous-traitance jusqu’au 31 août 2021 inclus, les procédures et délais en place avant le 15 octobre 2021 restent d’application. Un retour sur leurs demandes sous forme de demande d’informations complémentaires, de non-objection, non-objection conditionnelle ou refus leur sera systématiquement fourni. En cas de question par rapport à un tel dossier, les entités surveillées peuvent adresser leur question par courriel au réviseur en charge de la surveillance de l’entité.

3. Pour les entités surveillées ayant soumis leurs demandes d’autorisation de sous-traitance entre le 1er septembre 2021 et la veille de la date d’entrée en vigueur de la circulaire susmentionnée (c’est-à-dire avant le 15 octobre 2021), les dispositions suivantes s’appliquent :

  • En cas de réaction de la CSSF (demande d’informations complémentaires, opposition partielle ou complète au projet), cette réaction interviendra au plus tard dans un délai de 3 mois à compter de la date d’entrée en vigueur de la circulaire, soit jusqu’au 15 janvier 2022. Dans la transmission de sa réaction, la CSSF fournira à l’entité surveillée des précisions quant au suivi de la demande.
  • En l’absence de réaction de la CSSF (demande d’informations complémentaires, opposition partielle ou complète au projet) au 15 janvier 2022, les entités surveillées peuvent mettre en œuvre la sous-traitance prévue. L’absence de réaction de la CSSF ne préjuge pas des mesures de surveillance ou de l’application de mesures contraignantes et/ou sanctions administratives qu’elle pourrait être amenée à prendre à un stade ultérieur dans le cadre de la surveillance permanente, s’il apparaît que lesdits projets d’externalisation ne sont pas conformes au cadre juridique et réglementaire applicable.

4. Dans tous les cas, il demeure de l’entière responsabilité des entités surveillées de se conformer à toutes les lois et réglementations pertinentes concernant les projets d’externalisation prévus.

 

Updated on 19 October 2021