LU - Révision des conditions d’externalisation informatique
Le 14 octobre 2021, la Commission de Surveillance du secteur financier (CSSF) a publié une circulaire CSSF 21/785 remplaçant l'obligation d'autorisation préalable par une obligation de notification préalable en cas d'externalisation informatique matérielle.
Dans ce contexte, et en ce qui concerne l'externalisation informatique basée sur une infrastructure de cloud computing, les exigences relatives aux clauses ont été clarifiées. Ainsi, les entités surveillées doivent au préalable notifier leur projet au moins trois mois avant que la sous-traitance prévue ne soit effective, ou au moins un mois dans le cas d’un recours à un prestataire de service financier (PSF) de support. En l’absence de réaction de l’autorité compétente (demande d’informations complémentaires, opposition partielle ou complète au projet), l’établissement peut mettre en œuvre la sous-traitance informatique matérielle à l’expiration du délai précédemment évoqué de trois mois ou d’un mois. La présente circulaire est entrée en vigueur le 15 octobre 2021.