📄 Texte de loi
PROJET DE LOI portant :
1°
mise en œuvre du règlement (UE) 2022/2554 du Parlement européen
et du Conseil du 14 décembre 2022 sur la résilience opérationnelle
numérique du secteur financier et modifiant les règlements (CE) n°
1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et
(UE) 2016/1011 ;
2°
transposition de la directive (UE) 2022/2556 du Parlement européen
et du Conseil du 14 décembre 2022 modifiant les directives
2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE,
2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la
résilience opérationnelle numérique du secteur financier ;
3°
modification de :
a)
la loi modifiée du 5 avril 1993 relative au secteur financier ;
b)
la loi modifiée du 13 juillet 2005 relative aux institutions de
retraite professionnelle sous forme de sepcav et assep ;
c)
la loi modifiée du 10 novembre 2009 relative aux services de
paiement ;
d)
la loi modifiée du 17 décembre 2010 concernant les organismes
de placement collectif ;
e)
la loi modifiée du 12 juillet 2013 relative aux gestionnaires de
fonds d’investissement alternatifs ;
f)
la loi modifiée du 7 décembre 2015 sur le secteur des
assurances ;
g)
la loi modifiée du 18 décembre 2015 relative à la défaillance des
établissements de crédit et de certaines entreprises
d’investissement ;
h)
la loi modifiée du 30 mai 2018 relative aux marchés
d’instruments financiers ;
i)
la loi modifiée du 16 juillet 2019 relative à l’opérationnalisation
de règlements européens dans le domaine des services
financiers
1/23
*
I. EXPOSE DES MOTIFS
Le présent projet de loi comporte un double objet. Il vise, d’une part, à mettre en œuvre le
règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la
résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n°
1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 (ci-après
dénommé « règlement (UE) 2022/2554 ») et, d’autre part, à transposer la directive (UE) 2022/2556
du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE,
2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE)
2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier (ci-après
dénommée « directive (UE) 2022/2556 »), qui accompagne le règlement (UE) 2022/2554.
L’objectif du règlement (UE) 2022/2554 (communément appelé « DORA » ou « Digital Operational
Resilience Act »), et accessoirement de la directive (UE) 2022/2556, est d’harmoniser et de renforcer
les exigences en matière de sécurité des technologies de l’information et de la communication (TIC)
afin d’atteindre un niveau élevé de résilience opérationnelle numérique pour l’ensemble du secteur
financier.
Le secteur financier dépend de plus en plus de technologies informatiques et de processus
numériques. La transition vers le numérique à grande échelle a également renforcé les
interconnexions et les relations de dépendance au sein du secteur financier et avec les prestataires
tiers d’infrastructures et de services TIC. Cependant, les exigences applicables aux entités relevant
du secteur financier pour répondre aux risques liés aux TIC sont, à ce jour, fragmentées, parfois
incomplètes et scindées dans divers actes juridiques sectoriels de l’Union européenne.
Le règlement (UE) 2022/2554 consolide les différentes règles traitant le risque lié aux TIC dans le
secteur financier et les réunit dans un seul et même acte législatif pour combler les lacunes
susmentionnées et pour remédier à d’éventuelles incohérences.
La consolidation et l’harmonisation plus poussée des exigences clés en matière de résilience
opérationnelle numérique s’inscrivent dans l’objectif de favoriser l’innovation et l’adoption de
nouvelles technologies dans le secteur financier, tout en assurant la stabilité financière et la
protection des investisseurs et des consommateurs. Le règlement (UE) 2022/2554 établit un corpus
de règles uniformes sur la résilience opérationnelle numérique en vertu duquel les entités visées
devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation
opérationnelle grave liée aux TIC. Il définit notamment des exigences uniformes en ce qui concerne
la gestion des risques liés aux TIC, la notification des incidents majeurs liés aux TIC, les tests de
résilience opérationnelle numérique, le partage d’informations en rapport avec les cybermenaces et
les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC.
Le règlement (UE) 2022/2554 établit également des règles relatives à l’établissement du cadre de
supervision applicable aux prestataires tiers critiques de services TIC.
Les dispositions du règlement (UE) 2022/2554 étant directement applicables dans l’Union
européenne, le projet de loi vise principalement, aux fins de l’opérationnalisation du règlement (UE)
2022/2554, à doter les autorités compétentes nationales chargées de veiller à l’application du
règlement (UE) 2022/2554 des pouvoirs de surveillance et d’enquête nécessaires à l’exercice de
2/23
leurs fonctions, dans les limites définies par ledit règlement, et à fixer un régime de sanctions
approprié. A cette fin, la loi en projet modifie la loi modifiée du 16 juillet 2019 relative à
l’opérationnalisation de règlements européens dans le domaine des services financiers.
La directive (UE) 2022/2256 accompagne et complète le règlement (UE) 2022/2554 en prévoyant
une série de modifications ciblées à des directives européennes existant dans le domaine du secteur
financier. Ces modifications sont nécessaires afin d’assurer, dans un souci de sécurité juridique, la
cohérence desdits actes sectoriels avec le règlement (UE) 2022/2554 en ce qui concerne
l’application des exigences en matière de résilience opérationnelle numérique actuellement
éparpillées dans les différentes législations sectorielles existantes.
Par conséquent, le projet de loi vise, outre l’opérationnalisation du règlement (UE) 2022/2554, à
transposer en droit luxembourgeois ces modifications ponctuelles apportées aux directives
européennes du secteur financier et ayant trait à la résilience numérique et à la sécurité TIC. La loi
en projet procède ainsi à une adaptation ciblée d’une série de lois nationales relatives au secteur
financier.
3/23
*
II. TEXTE DU PROJET DE LOI
Chapitre 1er – Modification de la loi modifiée du 5 avril 1993 relative au secteur financier
Art. 1er. L’article 5, paragraphe 1bis, alinéa 1er, de la loi modifiée du 5 avril 1993 relative au secteur
financier, est modifié comme suit :
1°
Les mots « , des réseaux et des systèmes d'information qui sont mis en place et gérés
conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14
décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant
les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et
(UE) 2016/1011, ci-après le « règlement (UE) 2022/2554 » » sont insérés entre les mots «
administratives et comptables saines » et les mots « et des politiques » ;
2°
Les mots « , ainsi que des mécanismes de contrôle et de sécurité de ses systèmes
informatiques » sont supprimés.
Art. 2. A l’article 17, paragraphe 1bis, de la même loi, les mots « ainsi que des mécanismes de
contrôle et de sécurité de ses systèmes informatiques » sont supprimés.
Art. 3. L’article 37-1 de la même loi est modifié comme suit :
1°
Au paragraphe 3, les mots « ils doivent mettre en place des systèmes, des ressources et des
procédures appropriés et proportionnés » sont remplacés par les mots « ils utilisent des
systèmes appropriés et proportionnés, y compris des systèmes de technologies de
l'information et de la communication (ci-après « TIC ») mis en place et gérés conformément à
l'article 7 du règlement (UE) 2022/2554, ainsi que des ressources et des procédures
appropriées et proportionnées » ;
2°
Au paragraphe 4, les mots « et de mécanismes de contrôle et de sécurité de leurs systèmes
informatiques » sont supprimés ;
3° Au paragraphe 5bis, le mot « garantir » est remplacé par les mots « assurer, conformément aux
exigences fixées dans le règlement (UE) 2022/2554, ».
Art. 4. À l’article 53, paragraphe 2, lettre a), point vi), de la même loi, le mot « opérationnelles » est
remplacé par les mots « , y compris, le cas échéant, les prestataires tiers de services TIC visés au
chapitre V du règlement (UE) 2022/2554 ».
Art. 5. L’article 53-21, paragraphe 2, de la même loi prend la teneur suivante :
4/23
« (2) Les établissements CRR disposent de politiques et de plans d’urgence et de poursuite de
l’activité adéquats, y compris des politiques et des plans en matière de continuité des activités
de TIC et des plans de réponse et de rétablissement des TIC concernant les technologies qu’ils
utilisent pour la communication d’informations. Les établissements CRR établissent, gèrent et
testent ces plans conformément à l’article 11 du règlement (UE) 2022/2554, afin qu’ils puissent
poursuivre leurs activités en cas de grave perturbation de celles-ci et limiter les pertes subies à
la suite d’une telle perturbation. ».
Art. 6. L’article 53-25, paragraphe 1er, de la même loi est modifié comme suit :
1. Au point 2, le mot « et » est supprimé après le point-virgule ;
2. Au point 3, le point final est remplacé par l’expression « ; et » ;
3. Il est inséré, à la suite du point 3, un nouveau point 4, libellé comme suit :
« 4. les risques mis en évidence par des tests de résilience opérationnelle numérique
conformément au chapitre IV du règlement (UE) 2022/2554. ».
Art. 7. À l’article 59-18, paragraphe 4, lettre p), de la même loi, les mots « l’infrastructure et les
services informatiques » sont remplacés par les mots « les réseaux et les systèmes d'information qui
sont mis en place et gérés conformément au règlement (UE) 2022/2554 ».
Chapitre 2 – Modification de la loi modifiée du 13 juillet 2005 relative aux institutions de retraite
professionnelle sous forme de sepcav et assep
Art. 8. À l’article 57-1, paragraphe 5, de la loi modifiée du 13 juillet 2005 relative aux institutions de
retraite professionnelle sous forme de sepcav et assep, les mots « et, en particulier, mettent en
place et gèrent des réseaux et des systèmes d'information conformément au règlement (UE)
2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience
opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE)
n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, le cas échéant » sont ajoutés
après les mots « appropriés et proportionnés ».
Chapitre 3 – Modification de la loi modifiée du 10 novembre 2009 relative aux services de
paiement
Art. 9. À l’article 3, lettre j), de la loi modifiée du 10 novembre 2009 relative aux services de
paiement, les mots « et de la communication (ci-après « TIC ») » sont insérés entre les mots
« technologies de l’information » et les mots « et la fourniture ».
Art. 10. L’article 8, paragraphe 1er, de la même loi est modifié comme suit :
5/23
1°
2°
L’alinéa 1er est modifié comme suit :
a)
À la lettre e), les mots « ainsi que des dispositions relatives à l'utilisation des services TIC
conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du
14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et
modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE)
n° 909/2014 et (UE) 2016/1011, ci-après le « règlement (UE) 2022/2554 », » sont
insérés entres les mots « du requérant, » et les mots « qui démontre » ;
b)
À la lettre m), les mots « en vertu de l’article 105-2 » sont remplacés par les mots « fixées
au chapitre III du règlement (UE) 2022/2554 » ;
c)
À la lettre o), les mots « activités essentielles, des plans d’urgence appropriés et une
procédure prévoyant de soumettre ces plans à des tests et de réexaminer
périodiquement leur adéquation et leur efficience » sont remplacés par les mots
« opérations critiques, une politique et des plans en matière de continuité des activités
de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu'une
procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et
l’efficacité de ces plans conformément au règlement (UE) 2022/2554 » ;
À l’alinéa 3, les mots « sécurité technique et de protection des données, y compris pour les
systèmes logiciels et informatiques » sont remplacés par les mots « résilience opérationnelle
numérique conformément au chapitre II du règlement (UE) 2022/2554, notamment en ce qui
concerne la sécurité technique et la protection des données, y compris pour les logiciels et les
systèmes de TIC ».
Art. 11. À l’article 11, paragraphe 4, alinéa 2, de la même loi, le mot « informatiques » est remplacé
par les mots « de TIC ».
Art. 12. L’article 24-4 de la même loi est modifié comme suit :
1°
L’alinéa 1er est modifié comme suit :
a) À la lettre e), les mots « ainsi que des dispositions relatives à l'utilisation des services TIC
conformément au règlement (UE) 2022/2554, » sont insérés entre les mots « du
requérant, » et les mots « qui démontre » ;
b) À la lettre m), les mots « en vertu de l’article 105-2 » sont remplacés par les mots
« fixées au chapitre III du règlement (UE) 2022/2554 » ;
c) À la lettre o), les mots « activités essentielles, des plans d’urgence appropriés et une
procédure prévoyant de soumettre ces plans à des tests et de réexaminer
périodiquement leur adéquation et leur efficience » sont remplacés par les mots
« opérations critiques, une politique et des plans en matière de continuité des activités
de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu'une
procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et
l’efficacité de ces plans conformément au règlement (UE) 2022/2554 » ;
6/23
2°
À l’alinéa 3, les mots « sécurité technique et de protection des données, y compris pour les
systèmes logiciels et informatiques » sont remplacés par les mots « résilience opérationnelle
numérique conformément au chapitre II du règlement (UE) 2022/2554, notamment en ce
qui concerne la sécurité technique et la protection des données, y compris pour les logiciels
et les systèmes de TIC ».
Art. 13. À l’article 24-7, paragraphe 4, alinéa 2, de la même loi, le mot « informatiques » est
remplacé par les mots « de TIC ».
Art. 14. À l’article 105-1, paragraphe 1er, de la même loi, il est inséré un nouvel alinéa 2, libellé
comme suit :
« L’alinéa 1er est sans préjudice de l'application du chapitre II du règlement (UE) 2022/2554 aux
prestataires de services de paiement visés à l’article 1er, point 37), sous-points i), ii), iv), vii) et
viii), et point 37quinquies). ».
Art. 15. À l’article 105-2 de la même loi, il est inséré à la suite du paragraphe 3, un nouveau
paragraphe 4, libellé comme suit :
« (4) Le paragraphe (1) ne s’applique pas aux prestataires de services de paiement visés à
l’article 1er, point 37), sous-points i), ii), iv), vii) et viii), et point 37quinquies). ».
Chapitre 4 – Modification de la loi modifiée du 17 décembre 2010 concernant les organismes de
placement collectif
Art. 16. À l’article 109, paragraphe 1er, lettre a), de la loi modifiée du 17 décembre 2010 concernant
les organismes de placement collectif, les mots « sécurité dans le domaine informatique » sont
remplacés par les mots « sauvegarde dans le domaine du traitement électronique des données, y
compris en ce qui concerne les réseaux et les systèmes d'information qui sont mis en place et gérés
conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre
2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE)
n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 ».
Chapitre 5 – Modification de la loi modifiée du 12 juillet 2013 relative aux gestionnaires de fonds
d’investissement alternatifs
Art. 17. L’article 16, alinéa 2, de la loi modifiée du 12 juillet 2013 relative aux gestionnaires de fonds
d’investissement alternatifs est modifié comme suit :
1°
Les mots « y compris en ce qui concerne les réseaux et les systèmes d’information qui sont
mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen
7/23
et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur
financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014,
(UE) n° 909/2014 et (UE) 2016/1011, » sont insérés entre les mots « traitement électronique
des données, » et les mots « ainsi que des mécanismes » ;
2°
Le mot « participation » est remplacé par le mot « détention ».
Chapitre 6 – Modification de la loi modifiée du 7 décembre 2015 sur le secteur des
assurances
Art. 18. À l’article 71, paragraphe 4, deuxième phrase, de la loi modifiée du 7 décembre 2015 sur le
secteur des assurances, les mots « et, en particulier, de mettre en place et de gérer des réseaux et
des systèmes d'information conformément au règlement (UE) 2022/2554 » sont ajoutés après les
mots « appropriés et proportionnés ».
Art. 19. À l’article 256-22, paragraphe 6, deuxième phrase, de la même loi, les mots « et, en
particulier, de mettre en place et de gérer des réseaux et des systèmes d'information conformément
au règlement (UE) 2022/2554, le cas échéant » sont ajoutés après les mots « appropriés et
proportionnés ».
Chapitre 7 – Modification de la loi modifiée du 18 décembre 2015 relative à la défaillance des
établissements de crédit et de certaines entreprises d’investissement
Art. 20. L’article 9, paragraphe 4, de la loi modifiée du 18 décembre 2015 relative à la défaillance des
établissements de crédit et de certaines entreprises d’investissement, est modifié comme suit :
1°
Au point 3, les mots « et la résilience opérationnelle numérique » sont insérés entre le mot
« continuité » et les mots « en cas » ;
2°
Le point 17 est complété par les mots « , y compris des réseaux et des systèmes d'information
visés dans le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre
2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les
règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE)
2016/1011, ci-après le « règlement (UE) 2022/2554 » ».
Art. 21. L’Annexe 1 de la même loi est modifiée comme suit :
1°
La Section A est modifiée comme suit :
a)
Au point 14, les mots « , ainsi que l’identification des prestataires tiers critiques de
services TIC, tels qu’ils sont définis à l'article 3, point 23., du règlement (UE) 2022/2554
» sont ajoutés après les mots « activités fondamentales » ;
b)
Il est inséré après le point 14, un nouveau point 14bis, libellé comme suit :
8/23
« 14bis. les résultats des tests de résilience opérationnelle numérique des
établissements en vertu du règlement (UE) 2022/2554 ; » ;
2°
La Section B est modifiée comme suit :
a)
Au point 4, les mots « , y compris les accords contractuels relatifs à l’utilisation de
services TIC, » sont insérés entre les mots « contrats de service » et les mots « que
l’établissement », et les mots « solides et » sont insérés entre le mot « sont » et les mots
« pleinement applicables » ;
b)
Il est inséré après le point 4, un nouveau point 4bis, libellé comme suit :
« 4bis. la résilience opérationnelle numérique des réseaux et des systèmes
d'information qui soutiennent les fonctions critiques et les activités fondamentales
de l'établissement, compte tenu des rapports sur les incidents majeurs liés aux TIC et
des résultats des tests de résilience opérationnelle numérique en vertu du règlement
(UE) 2022/2554 ; ».
Chapitre 8 – Modification de la loi modifiée du 30 mai 2018 relative aux marchés d’instruments
financiers
Art. 22. L’article 6, paragraphe 1er, de la loi modifiée du 30 mai 2018 relative aux marchés
d’instruments financiers est modifié comme suit :
1. Au point 2, les mots « y compris le risque lié aux TIC conformément au chapitre II du
règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur
la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE)
n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, ciaprès le « règlement (UE) 2022/2554 », » sont insérés entre les mots « ils sont exposés, » et
les mots « de mettre en place » ;
2. Le point 3 est supprimé.
Art. 23. L’article 7 de la même loi est modifié comme suit :
1°
2°
Le paragraphe 1er est modifié comme suit :
a)
Les mots « disposent de systèmes, de procédures et de mécanismes efficaces » sont
remplacés par les mots « mettent en place et maintiennent leur résilience opérationnelle
conformément aux exigences fixées au chapitre II du règlement (UE) 2022/2554 » ;
b)
Les mots « , y compris une politique et des plans en matière de continuité des activités de
TIC et des plans de réponse et de rétablissement des TIC mis en place conformément à
l'article 11 du règlement (UE) 2022/2554, » sont insérés entre les mots « continuité des
activités » et le mot « assurant » ;
Au paragraphe 6, les mots « conformément aux exigences fixées aux chapitres II et IV du
règlement (UE) 2022/2554 » sont insérés entre les mots « ces essais » et les mots « , pour
garantir ».
9/23
Art. 24. L’article 60, paragraphe 1er, de la même loi est modifié comme suit :
1°
À la première phrase, les mots « conformément aux exigences fixées au chapitre II du
règlement (UE) 2022/2554 » sont insérés entre les mots « capacité suffisante » et les mots « ,
qu’ils sont soumis » ;
2°
La troisième phrase est modifiée comme suit :
a)
Les mots « , y compris d’une politique et de plans en matière de continuité des activités
de TIC et de plans de réponse et de rétablissement des TIC mis en place conformément
à l'article 11 du règlement (UE) 2022/2554, » sont insérés entre les mots « systèmes de
négociation » et les mots « et veillent à ce que » ;
b)
Les mots « et aux exigences spécifiques fixées aux chapitres II et IV du règlement
2022/2554 » sont ajoutés après les mots « du présent paragraphe ».
Chapitre 9 – Modification de la loi modifiée du 16 juillet 2019 relative à l’opérationnalisation de
règlements européens dans le domaine des services financiers
Art. 25. Après l’article 20-20 de la loi modifiée du 16 juillet 2019 relative à l’opérationnalisation de
règlements européens dans le domaine des services financiers, il est inséré un nouveau chapitre
4quinquies, libellé comme suit :
« Chapitre 4quinquies - Mise en œuvre du règlement (UE) 2022/2554 du Parlement
européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du
secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n°
600/2014, (UE) n° 909/2014 et (UE) 2016/1011
Art. 20-21. Définitions
Les termes utilisés dans le présent chapitre ont la signification qui leur est attribuée par le
règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur
la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE)
n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, ciaprès « règlement (UE) 2022/2554 ».
Art. 20-22. Autorités compétentes au Luxembourg
La CSSF et le CAA sont les autorités compétentes au Luxembourg visées à l’article 46 du
règlement (UE) 2022/2554 chargées de veiller à l’application dudit règlement et du présent
chapitre par les personnes visées au règlement (UE) 2022/2554 et soumises à leur
surveillance respective.
La CSSF et le CAA sont les autorités compétentes concernées visées à l’article 32, paragraphe
5, du règlement (UE) 2022/2554.
Art. 20-23. Pouvoirs de la CSSF et du CAA
10/23
(1) Aux fins de l’application du règlement (UE) 2022/2554, du présent chapitre et des
mesures prises pour leur exécution, la CSSF et le CAA sont investis des pouvoirs de
surveillance et d’enquête nécessaires à l’exercice de leurs fonctions, dans les limites définies
par ledit règlement.
(2) Les pouvoirs de la CSSF et du CAA sont les suivants :
1. accéder à tout document et à toute donnée, sous quelque forme que ce soit, et en
recevoir ou en prendre une copie ;
2. procéder auprès des personnes soumises à leur surveillance respective à des
inspections sur place ou à des enquêtes ;
3. convoquer les représentants des entités financières et leur demander de fournir
oralement ou par écrit des explications sur des faits ou des documents en rapport
avec l’objet et le but de l’enquête visée au point 2, et enregistrer leurs réponses ;
4. interroger toute autre personne physique ou morale qui accepte de l’être aux fins
de recueillir des informations concernant l’objet d’une enquête visée au point 2 ;
5. sous réserve de l’autorisation judiciaire prévue au paragraphe 3, exiger les
enregistrements de données relatives au trafic détenus par les fournisseurs de
services de communications électroniques et les opérateurs de réseaux de
communications publics, lorsqu’il existe des raisons de suspecter une violation et
que de tels enregistrements peuvent se révéler utiles à la manifestation de la vérité
dans le cadre d’une enquête relative à la violation des dispositions visées à l’article
20-24, paragraphe 1er ;
6. prendre les mesures appropriées pour faire en sorte que les entités financières
continuent de se conformer aux dispositions du règlement (UE) 2022/2554 et des
mesures prises pour son exécution ;
7. imposer des sanctions administratives et autres mesures administratives
conformément à l’article 20-24 ;
8. transmettre des informations au procureur d’État en vue de poursuites pénales.
(3) La CSSF n'exerce le pouvoir prévu au paragraphe 2, point 5, qu'après autorisation
préalable par ordonnance du juge d’instruction près le tribunal d’arrondissement de et à
Luxembourg. L’ordonnance est rendue sur requête sur la demande motivée de la CSSF. Le
juge d’instruction directeur ou en cas d’empêchement le magistrat qui le remplace désigne,
pour chaque requête de la CSSF, le juge qui en sera chargé.
Le juge d’instruction vérifie que la demande motivée de la CSSF qui lui est soumise est
justifiée et proportionnée au but recherché. La demande comporte tous les éléments
d’information de nature à justifier l’autorisation demandée.
L’ordonnance visée à l’alinéa 1er est susceptible des voies de recours comme en matière
d'ordonnances du juge d'instruction. Les voies de recours ne sont pas suspensives
Art. 20-24. Sanctions administratives et autres mesures administratives
11/23
(1) La CSSF et le CAA ont le pouvoir d’infliger les sanctions administratives et autres mesures
administratives visées au paragraphe 2 en cas de violation de l’article 4, paragraphes 1er et 2,
de l’article 5, de l’article 6, paragraphes 1er à 8 et paragraphe 10, deuxième phrase, des
articles 7 à 10, de l’article 11, paragraphes 1er à 10, des articles 12 à 14, de l’article 16,
paragraphe 1er, alinéa 2 et paragraphe 2, de l’article 17, de l’article 18, paragraphes 1er et 2,
de l’article 19, paragraphe 1er, alinéas 1er, 3, 4, 5 et paragraphes 3 à 5, deuxième phrase, des
articles 23 à 25, de l’article 26, paragraphes 1er à 3, paragraphes 5 et 6, paragraphe 7,
deuxième phrase et paragraphe 8, alinéas 1er et 2, de l’article 27, de l’article 28, paragraphes
1er à 8, de l’article 29, de l’article 30, paragraphes 1er à 4, de l’article 31, paragraphe 12, de
l’article 42, paragraphe 3, alinéa 2 , et de l’article 45 du règlement (UE) 2022/2554.
Lorsque les dispositions visées à l’alinéa 1er s’appliquent à des personnes morales, la CSSF et
le CAA ont le pouvoir d’infliger, dans les limites de leurs compétences respectives, les
sanctions administratives et autres mesures administratives visées au paragraphe 2 à l’égard
des membres de l’organe de direction et de toute autre personne responsable de la
violation.
(2) La CSSF et le CAA peuvent prononcer, dans les limites de leurs compétences respectives,
contre les personnes soumises à leur surveillance respective, pour les cas visés au
paragraphe 1er :
1. une injonction ordonnant à la personne responsable de la violation de mettre un
terme au comportement en cause et de s’abstenir de le réitérer ;
2. la cessation temporaire ou définitive de toute pratique jugée par l’autorité
compétente contraire aux dispositions du règlement (UE) 2022/2554 ;
3. dans le cas d’une personne physique, une amende administrative d’un montant
maximal de 5 000 000 d’euros ;
4. dans le cas d’une personne morale, une amende administrative d’un montant
maximal de 5 000 000 d’euros ou jusqu’à 10 pour cent du chiffre d’affaires annuel
total selon les derniers comptes disponibles approuvés par l’organe de direction, de
surveillance ou d’administration. Lorsque la personne morale est une entreprise
mère ou une filiale d’une entreprise mère qui est tenue d’établir des comptes
consolidés conformément à la directive 2013/34/UE, le chiffre d’affaires annuel total
à prendre en considération est le chiffre d’affaires annuel total, tel qu’il ressort des
derniers comptes consolidés disponibles approuvés par l’organe de direction de
l’entreprise mère ultime ;
5. une déclaration publique précisant l’identité de la personne responsable et la nature
de la violation, conformément à l’article 54 du règlement (UE) 2022/2554.
(3) La CSSF et le CAA peuvent prononcer une amende d’ordre de 250 à 250 000 euros contre
ceux qui font obstacle à l’exercice de leurs pouvoirs de surveillance et d’enquête, qui ne
donnent pas suite à leurs injonctions prononcées en vertu du paragraphe 2, point 1, ou qui
leur ont sciemment donné des informations inexactes ou incomplètes suite à des demandes
basées sur l’article 20-23, paragraphe 2, points 1 à 4.
12/23
(4) Les décisions prises par la CSSF et le CAA dans l’exercice de leurs pouvoirs de sanctions
sont motivées.
Art. 20-25. Droit de recours
Les décisions prises par la CSSF ou le CAA en vertu du présent chapitre ou du règlement (UE)
2022/2554 peuvent être déférées dans le délai d’un mois, sous peine de forclusion, au
tribunal administratif qui statue comme juge du fond. ».
Chapitre 10 – Entrée en vigueur
Art. 26. La présente loi entre en vigueur le 17 janvier 2025.
13/23
*
III. COMMENTAIRE DES ARTICLES
Chapitre 1er - Modification de la loi modifiée du 5 avril 1993 relative au secteur financier
Article 1er
L’article 1er du projet de loi vise à modifier l’article 5, paragraphe 1bis, de la loi modifiée du 5 avril
1993 relative au secteur financier (ci-après, la « LSF ») afin de transposer les modifications ayant trait
à la résilience opérationnelle numérique apportées par l’article 4, paragraphe 2, de la directive (UE)
2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives
2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et
(UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier (ciaprès, la « directive (UE) 2022/2556 ») à l’article 74, paragraphe 1er, de la directive 2013/36/UE. Il est
précisé dans l’article 5 de la LSF que le solide dispositif de gouvernance interne dont doit disposer
chaque établissement de crédit comprend explicitement des réseaux et systèmes d’information qui
sont mis en place et gérés conformément aux exigences énoncées dans le règlement (UE) 2022/2554
du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle
numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012,
(UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 (ci-après, le « règlement (UE) 2022/2554 »).
Article 2
L’article 2 du projet de loi vise à apporter, à des fins de transposition complète, une modification
ponctuelle à l’article 17, paragraphe1bis, de la LSF qui s’inscrit dans la lignée des modifications
apportées à l’article 5, paragraphe 1bis, de la LSF. La modification opérée est également à lire
ensemble avec les modifications apportées à l’article 37-1 de la LSF par l’article 3 de la loi en projet
qui impose aux entreprises d’investissement d’utiliser des systèmes de technologies de l'information
et de la communication mis en place et gérés conformément au règlement (UE) 2022/2554. Il
s’ensuit que le renvoi plus général aux mécanismes de contrôle et de sécurité des systèmes
informatiques prévu à l’endroit de l’article 17, paragraphe1bis, de la LSF n’est plus approprié et peut
être supprimé.
Article 3
L’article 3 du projet de loi vise à apporter des modifications ponctuelles à l’article 37-1 de la LSF afin
de transposer l’article 6, paragraphe 1er, de la directive (UE) 2022/2556 qui apporte des
amendements ciblés à l’article 16, paragraphes 4 et 5, de la directive 2014/65/UE. Il est désormais
explicitement précisé que les établissements de crédit et les entreprises d’investissement sont tenus
d’utiliser des systèmes de technologies de l'information et de la communication mis en place et
gérés conformément au règlement (UE) 2022/2554 pour garantir la continuité et la régularité de la
fourniture de leurs services et de l’exercice de leurs activités. De même, il est explicitement renvoyé
aux exigences fixées dans le règlement (UE) 2022/2554 pour assurer la sécurité et l’authentification
des moyens de transfert de l’information. Il y a lieu de noter que même si l’article 16 de la directive
2014/65/UE tel que modifié vise uniquement les entreprises d’investissement, l’article 1er,
paragraphe 3, de la directive précitée dispose que l’article 16 s’applique également aux
établissements de crédit agréés en vertu de la directive 2013/36/UE.
14/23
Article 4
L’article 4 du projet de loi vise à apporter une précision à l’article 53, paragraphe 2, lettre a), point
vi), de la LSF afin de transposer l’article 4, paragraphe 1er, de la directive (UE) 2022/2556. Il est
clarifié que les pouvoirs de requête d’information de la CSSF s’appliquent également explicitement à
l’égard des prestataires tiers de services de TIC visés au chapitre V du règlement (UE) 2022/2554
lorsque les entités visées à l’article 53, paragraphe 2, lettre a), points i) à iv) et vii), de la LSF ont
externalisé des fonctions ou des activités à de tels prestataires.
Article 5
L’article 5 du projet de loi vise à transposer l’article 4, paragraphe 3, de la directive (UE) 2022/2556
modifiant l’article 85, paragraphe 2, de la directive 2013/36/UE. La directive 2013/36/UE n’énonce
actuellement que des règles générales de gouvernance interne et des dispositions relatives au risque
opérationnel définissant des exigences en matière de plans d’urgence et de poursuite de l’activité
qui servent implicitement de base pour traiter le risque lié aux TIC. Afin de traiter le risque lié aux TIC
explicitement et clairement, les exigences en matière de plans d’urgence et de poursuite de l’activité
sont modifiées de manière à inclure également les plans de continuité des activités et les plans de
réponse et de rétablissement en ce qui concerne le risque lié aux TIC, conformément aux exigences
fixées dans le règlement (UE) 2022/2554. A ces fins, l’article 53-21 de la LSF relatif au risque
opérationnel est modifié.
Article 6
L’article 6 du projet de loi vise à transposer l’article 4, paragraphe 4, de la directive (UE) 2022/2556
modifiant l’article 97, paragraphe 1er, de la directive 2013/36/UE. A cette fin, l’article 53-25,
paragraphe 1er, de la LSF est complété par un nouveau point 4 qui élargit expressément la mise en
œuvre du processus de contrôle et d’évaluation prudentielle à l’évaluation de risques de TIC mis en
évidence par des tests de résilience opérationnelle numérique effectués conformément au
chapitre IV du règlement (UE) 2022/2554.
Article 7
L’article 7 de la loi en projet vise à transposer l’article 5, paragraphe 2, lettre a), de la directive
2022/2556 en apportant une précision à l’article 59-18, paragraphe 4, lettre p) de la LSF afin
d’assurer la cohérence avec les dispositions du règlement (UE) 2022/2554. Il est désormais renvoyé
aux réseaux et systèmes qui sont mis en place et gérés conformément au règlement (UE) 2022/2554
dans le contexte de l’établissement des plans de redressement.
Chapitre 2 - Modification de la loi modifiée du 13 juillet 2005 relative aux institutions de retraite
professionnelle sous forme de sepcav et assep
Article 8
L’article 8 du projet de loi (ensemble avec l’article 19) vise à transposer, de manière fidèle, l’article 8
de la directive 2022/2556 qui modifie l’article 21, paragraphe 5, de la directive (UE) 2016/2341.
L’article 57-1, paragraphe 5, deuxième phrase, de la loi modifiée du 13 juillet 2005 relative aux
institutions de retraite professionnelle sous forme de sepcav et assep est ainsi modifié dans le but de
préciser que les fonds de pension, aux fins de veiller à la continuité et à la régularité de leurs
15/23
activités, mettent en place et gèrent des réseaux et des systèmes d'information conformément au
règlement (UE) 2022/2554.
Chapitre 3 - Modification de la loi modifiée du 10 novembre 2009 relative aux services de paiement
Article 9
L’article 9 du projet de loi vise à apporter une modification mineure à l’article 3, lettre j), de la loi
modifiée du 10 novembre 2009 relative aux services de paiement (ci-après, la « LSP ») en vue de la
transposition de l’article 7, paragraphe 1er, de la directive (UE) 2022/2556 modifiant l’article 3, lettre
j), de la directive (UE) 2015/2366. La seule modification opérée à cet endroit consiste à assurer une
l’utilisation uniforme et cohérente du terme « technologies de l’information et de la communication
(TIC) » au sein de la LSP.
Article 10
L’article 10 du projet de loi vise à apporter une série de modifications ponctuelles à l’article 8 de la
LSP relatif à la demande d’agrément en tant qu’établissement de paiement. L’objectif des
changements consiste à aligner les exigences visées audit article sur le règlement (UE) 2022/2554.
Le point 1, lettre a) transpose l’article 7, paragraphe 2, lettre a), point i), de la directive 2022/2556
en modifiant l’article 8, paragraphe 1er, alinéa 1er, lettre e), de la LSP afin de clarifier que la demande
d’agrément introduite par les établissements de paiement doit être accompagnée des descriptions
des procédures relatives à l’utilisation des services TIC conformément aux dispositions du règlement
(UE) 2022/2554.
Le point 1, lettre b) transpose l’article 7, paragraphe 2, lettre a), point ii), de la directive 2022/2556
en modifiant l’article 8, paragraphe 1er, alinéa 1er, lettre m), de la LSP afin de clarifier que la demande
d’agrément introduite par les établissements de paiement doit être accompagnée d’une description
prouvant que la procédure de traitement et de suivi des incidents de sécurité respecte les
obligations de notification fixées par le règlement (UE) 2022/2554.
Le point 1, lettre c) transpose l’article 7, paragraphe 2, lettre a), point iii), de la directive 2022/2556
en modifiant l’article 8, paragraphe 1er, alinéa 1er, lettre o), de la LSP. Il est clarifié que la demande
d’agrément introduite par les établissements de paiement doit inclure une désignation claire des
opérations critiques ainsi que des plans de continuité des activités et des plans de rétablissement de
TIC conformément aux exigences du règlement (UE) 2022/2554.
Le point 2 porte transposition de l’article 7, paragraphe 2, lettre b), de la directive 2022/2556 en
modifiant l’article 8, paragraphe 1er, alinéa 3, de la LSP. L’objectif de la modification opérée est
d’assurer une cohérence avec les dispositions du règlement (UE) 2022/2554.
Article 11
L’article 11 du projet de loi modifie l’article 11 de la LSP afin de transposer l’article 7, paragraphe 3,
de la directive (UE) 2015/2366. Le changement opéré vise l’utilisation uniforme du terme « TIC »
dans la LSP.
16/23
Article 12
L’article 12 du projet de loi est le pendant de l’article 10 en ce qui concerne les établissements de
monnaie électronique. Il est renvoyé à l’article 10 de la loi en projet pour le détail.
Article 13
L’article 13 du projet de loi est le pendant de l’article 11 en ce qui concerne les établissements de
monnaie électronique. Il est renvoyé à l’article 11 de la loi en projet pour le détail.
Article 14
L’article 14 du projet de loi vise à transposer l’article 7, paragraphe 4, de la directive (UE) 2022/2556
modifiant l’article 95, paragraphe 1er, de la directive (UE) 2015/2366. L’article 105-1, paragraphe 1er,
de la LSP est ainsi complété par un nouvel alinéa 2 qui vise à assurer une articulation correcte entre
la disposition de la LSP relative à la gestion des risques opérationnels de sécurité et les règles
énoncées dans le règlement (UE) 2022/2554 s’appliquant à certaines catégories de prestataires de
service de paiements soumis à la fois à la LSP et au règlement (UE) 2022/2554.
Ainsi, afin d'éviter des conflits éventuels entre des règles de même nature, il est précisé que l’article
105-1, paragraphe 1er, alinéa 1er, de la LSP est sans préjudice de l'application du chapitre II du
règlement (UE) 2022/2554 aux établissements de crédit, établissements de monnaie électronique,
établissements de paiement, prestataires de services d’information sur les comptes et aux
personnes bénéficiant d’une dérogation conformément aux articles 48 et 48-1bis.
Article 15
L’article 15 du projet de loi vise à transposer l’article 7, paragraphe 5, de la directive (UE) 2022/2556
modifiant l’article 96 de la directive (UE) 2015/2366. Afin de réduire la charge administrative et
d’éviter la complexité et la répétition des obligations de notification, les règles relatives à la
notification des incidents figurant à l’article 105-2 de la LSP devraient cesser de s’appliquer aux
prestataires de services de paiement qui sont régis par ladite loi et qui relèvent également du
règlement (UE) 2022/2554, leur permettant ainsi de bénéficier d’un mécanisme de notification des
incidents unique et entièrement harmonisé, applicable à tous les incidents opérationnels ou de
sécurité liés au paiement, que ces incidents sont liés ou non aux TIC. Sont visés les établissements de
crédit, les établissements de monnaie électronique, les établissements de paiement, les prestataires
de services d’information sur les comptes et les personnes bénéficiant d’une dérogation
conformément aux articles 48 et 48-1bis.
A ces fins, l’article 105-2 de la LSP relatif à la notification des incidents est complété par un nouveau
paragraphe 4 clarifiant que le paragraphe 1er dudit article ne s’applique pas à ces prestataires de
services de paiement.
Chapitre 4 - Modification de la loi modifiée du 17 décembre 2010 concernant les organismes de
placement collectif
Article 16
L’article 16 du projet de loi vise à transposer l’article 1er, paragraphe 1er, de la directive (UE)
2022/2556 en modifiant l’article 109, paragraphe 1er, lettre a), de la loi modifiée du 17 décembre
2010 concernant les organismes de placement collectif. Le libellé dudit article est aligné sur le
17/23
règlement (UE) 2022/2554 en imposant aux sociétés de gestion de se doter des dispositifs de
contrôle des systèmes d'information mis en place et gérés conformément aux exigences du
règlement (UE) 2022/2554.
Chapitre 5 – Modification de la loi modifiée du 12 juillet 2013 relative aux gestionnaires de fonds
d’investissement alternatifs
Article 17
L’article 17 du projet de loi vise à transposer l’article 3 de la directive (UE) 2022/2556 qui apporte
une modification ponctuelle à l’article 18 de la directive 2011/61/UE.
Le point 1 modifie l’article 16, alinéa 2, de la loi modifiée du 12 juillet 2013 relative aux gestionnaires
de fonds d’investissement alternatifs afin de préciser que les dispositifs de contrôle et de sauvegarde
dans le domaine du traitement électronique des données dont doivent disposer les gestionnaires de
FIA comprennent les réseaux et les systèmes d’information qui doivent être mis en place et gérés
conformément aux exigences du règlement (UE) 2022/2554.
Le point 2 opère un changement d’ordre purement linguistique. Il est plus approprié de recourir au
terme « détention » pour désigner la « détention » d’investissements plutôt que « participation »
dans des investissements. Le terme retenu dans la traduction française du nouvel article 18 de la
directive 2011/61/UE est ainsi repris à l’article 16, alinéa 2, de la loi modifiée du 12 juillet 2013
relative aux gestionnaires de fonds d’investissement alternatifs. A noter que cette même locution
est déjà actuellement utilisée dans l’article 109 de la loi modifiée du 17 décembre 2010 concernant
les organismes de placement collectif.
Chapitre 6 - Modification de la loi modifiée du 7 décembre 2015 sur le secteur des assurances
Article 18
L’article 18 de la loi en projet modifie l’article 71, paragraphe 4, de la loi modifiée du 7 décembre
2015 sur le secteur des assurances afin de transposer l’article 2, paragraphe 1er, de la directive (UE)
2022/2556. L’article modifié clarifie que les entreprises d’assurance et de réassurance doivent se
doter des réseaux et des systèmes d'information qui sont mis en place et gérés conformément aux
exigences du règlement (UE) 2022/2554. Il y a lieu de noter que la référence à l’intitulé complet du
règlement (UE) 2022/2554 peut être omise en l’occurrence, étant donné que l’article 36 du Projet de
loi 8184 vise à ajouter l’intitulé complet dudit règlement à l’annexe III de la loi modifiée du 7
décembre 2015 sur le secteur des assurances.
Article 19
L’article 19 du projet de loi vise à compléter la transposition de l’article 8 de la directive 2022/2556.
Il est renvoyé pour le détail au commentaire de l’article 8 de la loi en projet.
18/23
Chapitre 7- Modification de la loi modifiée du 18 décembre 2015 relative à la défaillance des
établissements de crédit et de certaines entreprises d’investissement
Article 20
L’article 20 du projet de loi vise à modifier l’article 9, paragraphe 4, de la loi modifiée du 18
décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises
d’investissement (ci-après, la « loi modifiée du 18 décembre 2015 ») afin de transposer l’article 5,
paragraphe 1er, lettres a) et b), de la directive (UE) 2022/2256 portant modification de l’article 10,
paragraphe 7, lettres c) et q), de la directive 2014/59/UE. Une précision est apportée à l’article 9,
paragraphe 4, point 3, de la loi modifiée du 18 décembre 2015 concernant le contenu des plans de
résolution requérant une démonstration de la façon dont les fonctions critiques et les activités
fondamentales pourraient être juridiquement et économiquement séparées des autres fonctions,
dans la mesure nécessaire pour assurer leur continuité et la résilience opérationnelle numérique en
cas de défaillance de l’établissement. Par ailleurs, il est clarifié à l’endroit de l’article 9, paragraphe 4,
point 17, de la prédite loi que les plans de résolution doivent inclure des descriptions des systèmes
et opérations permettant de maintenir en permanence le fonctionnement des systèmes
d’information visés dans le règlement (UE) 2022/2554.
Article 21
L’article 21 du projet de loi vise à modifier l’Annexe 1 de la loi modifiée du 18 décembre 2015.
Le point 1 modifie la Section A de l’Annexe 1 en ce qui concerne les informations que le conseil de
résolution peut demander aux établissements concernés de fournir dans le cadre de l’élaboration et
de l’actualisation des plans de résolution. Il est assuré que les informations relatives à la résilience
opérationnelle sont explicitement prises en compte dans ce contexte.
Le point 1, lettre a) modifie le point 14 afin de transposer l’article 5, paragraphe 2, lettre b), point i),
de la directive (UE) 2022/2256 qui modifie l’Annexe, Section B, point 14, de la directive 2014/59/UE.
Le droit est explicitement conféré au conseil de résolution de demander aux fins de l’élaboration et
de l’actualisation des plans de résolution d’inclure l’identification des prestataires tiers critiques de
services TIC, tels que définis dans le règlement (UE) 2022/2554.
Le point 1, lettre b) vise à transposer l’article 5, paragraphe 2, lettre b), point ii), de la directive (UE)
2022/2256 par l’ajout d’un nouveau point 14bis. Il est retenu que le conseil de résolution peut, dans
le cadre de l’élaboration et de l’actualisation des plans de résolution, requérir les résultats des tests
de résilience opérationnelle numérique des établissements visés dans le règlement (UE) 2022/2554.
Le point 2 modifie la Section B de l’Annexe 1 concernant les questions que le conseil de résolution
doit examiner lorsqu’il évalue la résolvabilité d’un établissement ou d’un groupe.
Le point 2, lettre a) modifie le point 4 pour transposer l’article 5, paragraphe 2, lettre c), point i), de
la directive (UE) 2022/2256 qui modifie l’Annexe, Section C, point 4, de la directive 2014/59/UE.
Certains accords contractuels relatifs à l’utilisation de services TIC sont essentiels pour assurer la
continuité opérationnelle et pour fournir les données nécessaires en cas de résolution. Il est ainsi
précisé que le conseil de résolution, lorsqu’il évalue la résolvabilité d’un établissement ou d’un
groupe, examine si les accords contractuels relatifs à l’utilisation de service TIC que l’établissement a
conclu sont solides et pleinement applicable en cas de résolution de l’établissement.
19/23
Le point 2, lettre b) vise à transposer l’article 5, paragraphe 2, lettre c), point ii), de la directive (UE)
2022/2256 par l’ajout d’un nouveau point 4bis. Il incombe dorénavant au conseil de résolution,
lorsqu’il évalue la résolvabilité d’un établissement ou d’un groupe, d’examiner la résilience
opérationnelle numérique des réseaux et des systèmes d'information qui soutiennent les fonctions
critiques et les activités fondamentales de l'établissement, compte tenu des rapports sur les
incidents majeurs liés aux TIC et des résultats des tests de résilience opérationnelle numérique en
vertu du règlement (UE) 2022/2554.
Chapitre 8 - Modification de la loi modifiée du 30 mai 2018 relative aux marchés d’instruments
financiers
Article 22
L’article 22 du projet de loi vise à apporter des modifications ciblées ayant trait à la résilience
numérique à l’article 6 de loi modifiée du 30 mai 2018 relative aux marchés d’instruments financiers
(ci-après, la « loi modifiée du 30 mai 2018 »). Il vise à transposer l’article 6, paragraphe 3, de la
directive (UE) 2022/2256 qui modifie l’article 47, paragraphe 1er, de la directive 2014/65/UE.
Le point 1 transpose l’article 6, paragraphe 3, lettre a), de la directive (UE) 2022/2256 en apportant
une modification ponctuelle à l’article 6, paragraphe 1er, point 2, de la loi modifiée du 30 mai 2018.
Le nouveau libellé exige que les marchés règlementés soient adéquatement équipés pour gérer leurs
risques liés à la résilience opérationnelle numérique en conformité avec les exigences découlant du
règlement (UE) 2022/2554. Cette précision vise à assurer une cohérence entre la loi sectorielle et le
règlement (UE) 2022/2554.
Le point 2 transpose l’article 6, paragraphe 3, lettre b), de la directive (UE) 2022/2256 en supprimant
l’article 6, paragraphe 1er, point 3, de la loi modifiée du 30 mai 2018 qui est superfétatoire suite aux
changements apportés à l’article 6, paragraphe 1er, point 2, de ladite loi.
Article 23
L’article 23 du projet de loi vise à modifier l’article 7 de la loi modifiée du 30 mai 2018 aux fins de la
transposition de l’article 6, paragraphe 4, de la directive (UE) 2022/2256.
Le point 1 modifie l’article 7, paragraphe 1er, de la loi modifiée du 30 mai 2018 afin d’exiger des
marchés règlementés qu’ils mettent en place et maintiennent leur résilience opérationnelle
conformément aux exigences imposées par le règlement UE) 2022/2554. Est ainsi transposé l’article
6, paragraphe 4, lettre a), de la directive (UE) 2022/2256.
Le point 2 transpose l’article 6, paragraphe 4, lettre b), de la directive (UE) 2022/2256 en modifiant
l’article 7, paragraphe 6, de la loi modifiée du 30 mai 2018. Il est précisé que les essaies
d’algorithmes à effectuer par les marchés réglementés en matière de trading algorithmique se
réalisent conformément aux exigences fixées aux chapitres II et IV du règlement (UE) 2022/2554.
Article 24
L’article 24 du projet de loi vise à modifier, de manière ponctuelle, l’article 60, paragraphe 1er, de la
loi modifiée du 30 mai 2018 afin de transposer l’article 6, paragraphe 2, de la directive 2022/2256
modifiant l’article 17 de la directive 2014/65/UE ayant trait au trading algorithmique. Les
changements opérés visent à assurer la cohérence avec le règlement (UE) 2022/2554.
20/23
Le point 1 exige que les personnes recourant au trading algorithmique adoptent des procédures et
mécanismes appropriés et conformes aux exigences du règlement 2022/2254 pour garantir que
leurs systèmes de négociation sont résilients et ont une capacité suffisante.
Le point 2 impose aux personnes recourant au trading algorithmique de disposer d’une politique et
de plans en matière de continuité des activités de TIC et de plans de réponse et de rétablissement
des TIC mis en place conformément à l'article 11 du règlement (UE) 2022/2554, ainsi que de veiller à
ce que leurs systèmes soient entièrement testés et convenablement suivis de manière à garantir
qu'ils satisfont aux exigences du présent paragraphe et aux exigences spécifiques fixées aux
chapitres II et IV du règlement 2022/2554.
Chapitre 9 – Modification de la loi modifiée du 16 juillet 2019 relative à l’opérationnalisation de
règlements européens dans le domaine des services financiers
Article 25
L’article 25 du projet de loi vise à modifier la loi modifiée du 16 juillet 2019 relative à
l’opérationnalisation de règlements européens dans le domaine des services financiers (ci-après, la «
loi modifiée du 16 juillet 2019 ») par l’insertion d’un nouveau chapitre 4quinquies visant la mise en
œuvre du règlement (UE) 2022/2554.
Commentaire concernant l’article 20-21
À des fins de lisibilité du nouveau chapitre, l’article 20-21 renvoie aux définitions du
règlement (UE) 2022/2554, à l’instar de l’approche retenue aux articles 20-1, 20-7 et 20-13,
de la loi modifiée du 16 juillet 2019.
Commentaire concernant l’article 20-22
L’article 20-22 vise à désigner la Commission de surveillance du secteur financier (ci-après, la
« CSSF ») et le Commissariat aux assurances (ci-après, le « CAA ») en tant qu’autorités
compétentes au Luxembourg pour veiller à l’application du règlement (UE) 2022/2554 par
les personnes visées audit règlement et soumises à leur surveillance respective. Il s’agit des
autorités compétentes luxembourgeoise désignées en vertu de la législation sectorielle
applicable aux différentes entités relavant du secteur financier et soumises au règlement
(UE) 2022/2554, conformément à l’article 46 dudit règlement. Même si la désignation des
autorités compétentes nationales n’est pas explicitement requise en raison de la désignation
des autorités compétentes par référence aux actes juridiques sectoriels en vigueur, il paraît
judicieux de prévoir, notamment à des fins de sécurité et de clarté juridiques, un article isolé
qui charge la CSSF et le CAA de l’application du règlement en question par les personnes
soumises à leur surveillance respective.
Par ailleurs, l’article 20-22 prend soin de désigner la CSSF et le CAA en tant qu’autorités
compétentes concernées telles que visées à l’article 32, paragraphe 5, du règlement (UE)
2022/2554.
Commentaire concernant l’article 20-23
L’article 20-23 vise à mettre en œuvre de l’article 50, paragraphe 2 et paragraphe 4, lettres
c) et d), du règlement (UE) 2022/2554 en fixant les pouvoirs de surveillance et d'enquête
21/23
que la CSSF et le CAA auront à leur disposition pour assurer le respect du règlement (UE)
2022/2554, du nouveau chapitre 4quinquies ainsi que des mesures prises pour leur
exécution.
Le paragraphe 2 reprend fidèlement les pouvoirs de surveillance et d'enquête énumérés à
l’article 50, paragraphe 2, du règlement (UE) 2022/2554 dont les autorités compétentes
doivent disposer au minimum pour exercer leurs fonctions au titre dudit règlement. Il y a
lieu de constater que l’article 50, paragraphe 4, du règlement (UE) 2022/2554 constitue un
mélange de pouvoirs et de sanctions. Par souci de sécurité juridique, les pouvoirs visés à
l’article 50, paragraphe 4, lettres c) et d), du règlement (UE) 2022/2554 sont inclus dans la
liste des pouvoirs dont doivent être investis la CSSF et le CSSF qui est fixée au présent
paragraphe 2. En ce qui concerne le pouvoir de procéder à des inspections ou des enquêtes,
il est limité aux personnes soumises à la surveillance de la CSSF ou du CAA par analogie à
l’approche retenue dans la loi modifiée du 16 juillet 2019 et en ligne avec l’esprit du
règlement (UE) 2022/2554. Le pouvoir visé à l’article 50, paragraphe 4, lettre d), du
règlement (UE) 2022/2554, qui permettrait à la CSSF et au CAA d’exiger les enregistrements
des échanges informatiques existants détenus par un opérateur de télécommunications,
dans la mesure où les hypothèses dans lesquelles le recours à un tel pouvoir est autorisé en
droit luxembourgeois, est repris à l’article 20-23, paragraphe 2, point 5. Il échet de noter
qu’un pouvoir identique découlant de textes européens figure notamment à l’article 4 de la
loi modifiée du 23 décembre 2016 relative aux abus de marché et à l’article 53 de la loi
modifiée du 5 avril 1993 relative au secteur financier. Le libellé est ainsi aligné sur la
formulation utilisée dans les textes précités. Il est finalement rajouté à la liste des pouvoirs
d’enquête et de surveillance prévus par le règlement (UE) 2022/2554, le pouvoir de
transmettre des informations au procureur d’État en vue de poursuites pénales à l’instar de
ce qui est prévu dans la loi modifiée du 16 juillet 2019.
Le paragraphe 3 vise à rendre le dispositif visé à l’article 20-23, paragraphe 2, point 5,
conforme au droit luxembourgeois en instaurant une procédure d’autorisation judiciaire à
obtenir au préalable par ordonnance du juge d’instruction, telle qu’elle figure actuellement
dans la loi modifiée du 5 avril 1993 relative au secteur financier et dans la loi modifiée du 23
décembre 2016 relative aux abus de marché.
Commentaire concernant l’article 20-24
L’article 20-24 vise à mettre en œuvre l’article 50, paragraphes 4 et 5, du règlement (UE)
2022/2554 relatif au régime de sanctions. La CSSF et le CAA exercent chacun leurs pouvoirs à
l’égard des entités soumises à leur surveillance respective.
Le paragraphe 1er énumère, afin de répondre aux exigences du principe de la légalité des
incriminations, les comportements qui peuvent faire l’objet de sanctions administratives et
d’autres mesures administratives en renvoyant, de manière précise, aux différentes
dispositions du règlement (UE) 2022/2554. Il est précisé, conformément à l’article 50,
paragraphe 5, du règlement (UE) 2022/2554, que si les dispositions dont le non-respect peut
être sanctionné s’appliquent à des personnes morales, la CSSF et le CAA ont le pouvoir
d’infliger les sanctions administratives et autres mesures administratives visées au
paragraphe 2 à l’égard des membres de l’organe de direction et toutes autres personnes
responsables de la violation.
22/23
Les sanctions administratives et autres mesures administratives que la CSSF et le CAA
peuvent infliger en cas de violations des dispositions visées au paragraphe 1er sont ensuite
énumérées au paragraphe 2 afin de mettre en œuvre l’article 50, paragraphes 4, du
règlement (UE) 2022/2554. Les sanctions sont effectives, dissuasives et différenciées afin de
respecter le principe de proportionnalité.
Le paragraphe 3 donne la possibilité à la CSSF et au CAA de prononcer des amendes d’ordre
dans certains cas déterminés. Ce paragraphe est inspiré de dispositions analogues figurant
dans la loi modifiée du 16 juillet 2019.
Le paragraphe 4, ensemble avec l’article 20-25 …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.