Nouvelle circulaire CSSF 25/890 : Renforcement des exigences en matière de gouvernance et de gestion des risques pour les établissements financiers luxembourgeois

Contexte et objectifs de la circulaire

La Commission de Surveillance du Secteur Financier (CSSF) du Luxembourg a publié le 30 avril 2025 la circulaire 25/890, qui vient renforcer le cadre réglementaire existant en matière de gouvernance et de gestion des risques pour les établissements financiers sous sa supervision. Cette nouvelle circulaire s'inscrit dans une démarche d'amélioration continue des pratiques de surveillance et d'alignement avec les standards internationaux.

Principales dispositions et exigences

La circulaire introduit plusieurs exigences clés :

1. Renforcement du rôle du conseil d'administration dans la supervision des risques

- Obligation de mettre en place un comité des risques dédié

- Définition claire des responsabilités en matière de surveillance des risques

- Exigence de reporting régulier sur les indicateurs de risque

2. Amélioration du dispositif de contrôle interne

- Révision des trois lignes de défense

- Renforcement de l'indépendance des fonctions de contrôle

- Mise en place d'outils de suivi et de reporting plus sophistiqués

3. Gestion des risques émergents

- Intégration des risques climatiques et ESG

- Prise en compte des cyber-risques

- Évaluation des risques liés aux nouvelles technologies

Impact sur les établissements financiers

Les établissements concernés devront :

- Revoir leur structure organisationnelle

- Mettre à jour leurs politiques et procédures

- Former leur personnel aux nouvelles exigences

- Renforcer leurs systèmes d'information

Calendrier de mise en œuvre

La circulaire prévoit une période de transition de 12 mois pour permettre aux établissements de se mettre en conformité avec les nouvelles exigences. Des points d'étape réguliers seront organisés par la CSSF pour suivre l'avancement des travaux.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

• Réaliser un gap analysis complet entre votre dispositif actuel et les nouvelles exigences de la circulaire

• Établir une feuille de route détaillée pour la mise en conformité, avec des jalons clairs et des responsables identifiés

• Prévoir un budget spécifique pour les développements informatiques et la formation du personnel

• Mettre en place un dispositif de suivi et de reporting régulier sur l'avancement des travaux de mise en conformité