Circulaire CSSF 25/889 : Nouvelles exigences pour les entités surveillées au Luxembourg en matière de gouvernance et de gestion des risques

1. Contexte et objectifs de la circulaire

La Commission de Surveillance du Secteur Financier (CSSF) a publié le 30 avril 2025 la circulaire 25/889, qui vient renforcer le cadre réglementaire applicable aux entités surveillées au Luxembourg. Cette nouvelle circulaire s'inscrit dans une démarche d'amélioration continue de la gouvernance et de la gestion des risques au sein du secteur financier luxembourgeois.

L'objectif principal est d'harmoniser les pratiques de gouvernance et de renforcer la résilience opérationnelle des institutions financières face aux défis émergents, notamment en matière de risques technologiques et climatiques.

2. Principales dispositions et exigences

La circulaire introduit plusieurs obligations majeures :

- Renforcement du rôle du conseil d'administration dans la supervision des risques

- Mise en place d'un cadre de contrôle interne plus robuste

- Exigences accrues en matière de reporting et de documentation

- Intégration des facteurs ESG dans la gestion des risques

- Nouvelles obligations en matière de cybersécurité

3. Impact sur les fonctions de contrôle

Les fonctions de contrôle (Risk Management, Compliance, Audit Interne) voient leurs responsabilités élargies avec :

- Une obligation de reporting trimestriel au conseil d'administration

- Le développement de nouveaux indicateurs de risque

- Le renforcement des procédures de contrôle

- L'intégration de nouvelles méthodologies d'évaluation des risques

4. Calendrier de mise en œuvre

La circulaire prévoit une période de transition de 12 mois pour permettre aux entités de se conformer aux nouvelles exigences. Les principales échéances sont :

- Juin 2025 : Début de la période d'adaptation

- Décembre 2025 : Évaluation intermédiaire

- Avril 2026 : Date limite de mise en conformité

5. Implications pratiques pour les établissements

Les établissements devront :

- Réviser leurs politiques et procédures internes

- Former leur personnel aux nouvelles exigences

- Adapter leurs systèmes d'information

- Renforcer leurs dispositifs de contrôle

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un gap analysis complet entre vos dispositifs actuels et les nouvelles exigences de la circulaire

• Établir une feuille de route détaillée pour la mise en conformité, avec des jalons clairs et des responsables désignés

• Mettre en place un comité de pilotage dédié pour suivre l'avancement des travaux de mise en conformité

• Prévoir des sessions de formation pour l'ensemble des collaborateurs concernés

• Anticiper les besoins en ressources humaines et techniques pour répondre aux nouvelles exigences