📄 Texte de loi
Projet de loi portant sur certaines modalités d’application et les sanctions du
règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019
relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la
certification de cybersécurité des technologies de l’information et des
communications, et abrogeant le règlement (UE) n° 526/2013 et portant
modification de la loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS
I.
II.
III.
IV.
V.
VI.
VII.
Exposé des motifs
Texte du projet de loi
Commentaire des articles
Fiche financière
Fiche d’impact
Texte coordonné
Règlement (UE) 2019/881
p. 2
p. 3
p. 12
p. 16
p. 17
1
I.
Exposé des motifs
L’importance de la cybersécurité a grandement évoluée au cours de ces dernières années, passant d’un sujet
d’experts à une menace ressentie par l’ensemble de la société civile.
Au Grand-Duché de Luxembourg, le secteur des Technologies de l’Information et de la Communication (TIC)
fait partie intégrante de la politique de développement et de diversification. La pérennité des TIC est
indispensable au développement du marché économique. En tant que technologie transversale, les TIC
contribuent au bon fonctionnement d’autres secteurs, comme celui des transports, bancaire, de l’énergie, de
l’éducation, de la recherche, etc.
Le législateur européen établit un nouveau mandat permanent pour l’ENISA (Agence de l’Union européenne
pour la cybersécurité) et dote l’Union européenne d’un cadre pour la certification à l'échelle européenne des
produits, services et processus liés aux TIC dans le but de garantir un niveau adéquat de cybersécurité des
produits TIC, services TIC et processus TIC au sein des Etats membres, et ainsi dans le marché intérieur de
l’Union européenne et afin d’éviter la fragmentation du marché intérieur des schémas de certification de
cybersécurité souvent protectionnistes dans l’Union européenne.
Le présent projet de loi a pour objectif d’instituer les mesures d’application nationales du règlement (UE) n°
2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union
européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et
des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), dénommé
ci-après « règlement (UE) n° 2019/881 ».
En effet, ce projet de loi vise la mise en œuvre du règlement (UE) n° 2019/881 afin de légiférer au niveau
national les questions nécessitant une intervention législative nationale, tel que la désignation de l’autorité
nationale de certification de cybersécurité. Il a comme objectif d’exploiter les marges de manœuvres laissées
au législateur national pour compléter et préciser certaines dispositions du règlement (UE) n° 2019/881 tel le
rôle et les pouvoirs de l’autorité nationale de certification de cybersécurité en l’occurrence de l’Institut
luxembourgeois de la normalisation, de l'accréditation, de la sécurité et qualité des produits et services
(ILNAS) et du comité national de certification de cybersécurité ( ci-après le « comité » ). L’ILNAS est désigné
« autorité nationale de certification de cybersécurité » et est chargé de réaliser les activités de supervision en
matière de cybersécurité. Les activités d’accréditation et de certification étant incompatibles au sein d’une
même entité, étant donné que l’OLAS, au sein de l’ILNAS, est l’organisme luxembourgeois d’accréditation et
de surveillance, l’ILNAS ne peut pas exercer de tâche de certification. Sa fonction est donc strictement limitée
à la tâche de supervision, raison pour laquelle la tâche de certification sera confiée à une autre entité
nationale ou à un autre Etat membre de l’Union européenne. Les mesures nationales visées par les articles
58, 60, 61, 63, 64 et 65 du règlement (UE) n° 2019/881 s’appliquent à partir du 28 juin 2021.
2
II.
Texte du projet de loi
CHAPITRE 1 er - Autorités compétentes et représentation nationale.
Art. 1er. Autorité nationale de certification de cybersécurité
L’Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et
services (ci-après « ILNAS ») est désigné comme autorité nationale de certification de cybersécurité (ci-après
« autorité nationale ») au sens de l’article 58 du règlement (UE) n° 2019/881, responsable des tâches de
supervision.
Art. 2. Groupe européen de certification de cybersécurité
L’ILNAS, en tant qu’autorité nationale, participe au groupe européen de certification de cybersécurité au
sens de l’article 62 du règlement (UE) n°2019/881.
Art. 3. Comité national de certification de cybersécurité
(1) Un comité national de certification de cybersécurité (ci-après « comité » ) est créé auprès du ministre
ayant l’Economie dans ses attributions, dont la composition et l’organisation sont déterminées par règlement
grand-ducal.
(2) Le comité a les missions suivantes :
a) aviser sur le programme de travail glissant de l’Union européenne pour la certification européenne
de cybersécurité;
b) prendre position sur la politique de certification de cybersécurité de l’Union européenne ;
c) prendre position sur les schémas européens de certification de cybersécurité ;
d) prendre position sur la maintenance et le réexamen des schémas européens de certification de
cybersécurité existants ;
e) informer les parties prenantes concernées du processus consultatif prévu à l’article 56 paragraphe
3 point c) du règlement (UE) n° 2019/881 ;
f) échanger des informations sur les évolutions dans le domaine de la cybersécurité.
CHAPITRE 2 – Obligations.
Section 1re - Obligations générales d’information.
Art. 4. Accès aux informations
Lorsque les produits, services et processus TIC des titulaires de certificats de cybersécurité européens et
des émetteurs de déclarations de conformité de l’Union européenne font mention de prix et conditions de
3
vente ou de réalisation de la prestation, ces derniers doivent être indiqués de manière précise et non
équivoque. Il doit aussi être indiqué si toutes les taxes et frais additionnels sont compris dans le prix.
Art. 5. Echanges avec l’autorité nationale
(1) Les titulaires de certificats de cybersécurité européens, les émetteurs de déclarations de conformité
de l’Union européenne et les organismes d‘évaluation de la conformité donnent accès à l’autorité nationale
de toute information, document, personne, équipement et local dont elle a besoin pour pouvoir assurer sa
tâche de supervision.
(2) Les titulaires de certificats de cybersécurité européens, les émetteurs de déclarations de conformité
de l’Union européenne et les organismes d‘évaluation de la conformité informent l’autorité nationale par
écrit dans un délai de soixante-douze heures après avoir eu connaissance d’une vulnérabilité ou irrégularité
qui est susceptible d’avoir une incidence sur le respect des exigences de sécurité liées à la certification d’un
produit, d’un service ou d’un processus selon le règlement (UE) n° 2019/881.
Section 2 - Obligations au secret professionnel.
Art. 6. Secret professionnel
(1) Toute personne chargée ou ayant été chargée de procéder à des audits par l’autorité nationale auprès
des fabricants ou fournisseurs de produits TIC, services TIC et processus TIC est tenue au secret professionnel
et passible des peines prévues à l’article 10, paragraphe 6 de la présente loi.
(2) L’obligation au secret cesse lorsque la révélation d’un renseignement est autorisée ou imposée par
ou en vertu d’une disposition législative, même antérieure à la présente loi.
(3) L’obligation au secret professionnel n’existe pas à l’égard de l’autorité nationale et de l’organisme
national d’accréditation agissant dans le cadre de ses missions et compétences légales.
Section 3 - Les organismes d’évaluation de la conformité.
Art. 7. Obligations des organismes d’évaluation de la conformité
(1) L’organisme d’évaluation de la conformité qui souhaite certifier des produits TIC, des services TIC et
processus TIC, dans le cadre d’un schéma européen de certification de cybersécurité, doit être accrédité au
sens de l’article 60 du règlement (UE) n° 2019/881 et répondre aux exigences définies dans l’Annexe du
règlement (UE) n° 2019/881.
(2) L’organisme d’évaluation de la conformité accrédité au sens de l’article 60 du règlement (UE)
n° 2019/881, en informe dans un délai de soixante-douze heures l’autorité nationale.
4
(3) L’organisme d‘évaluation de la conformité doit se soumettre au contrôle, par l’autorité nationale, des
exigences spécifiques ou supplémentaires qui peuvent être définies dans les schémas européens de
certification de cybersécurité, en application de l’article 54, paragraphe 1, point f) du règlement (UE)
n° 2019/881, aux fins de notification et de supervision.
(4) L’autorité nationale doit toujours être tenue informée, dans un délai de soixante-douze heures, des
certificats délivrés par l’organisme d’évaluation de la conformité dans le cadre de l’article 60 du règlement
(UE) n° 2019/881.
CHAPITRE 3 – L’autorité nationale.
Art. 8. Rôle de l’autorité nationale
(1) L’autorité nationale notifie, conformément à l’article 61 du règlement (UE) n° 2019/881, à la
Commission européenne tout organisme d’évaluation de la conformité accrédité, et le cas échéant, autorisé
au sens de l’article 58, paragraphe 7, point e°, qui certifie des produits TIC, des services TIC et processus TIC,
dans le cadre d’un schéma européen de certification de cybersécurité aux niveaux d’assurances déterminés
en vertu de l’article 52 du règlement (UE) n° 2019/881.
L’autorité nationale peut présenter à la Commission européenne une demande visant à retirer de la liste
des organismes d‘évaluation de la conformité, les organismes d‘évaluation de la conformité qui ont fait l’objet
d’une notification dans le cadre d’un schéma européen de certification de cybersécurité, tel que défini dans
l’article 61 du règlement (UE) n° 2019/881 sur demande de l’organisme d‘évaluation de la conformité ou si
l’organisme d‘évaluation de la conformité n’est pas conforme aux exigences du règlement (UE) n° 2019/881,
des actes d’exécution pris en son exécution, des schémas européens de certification de cybersécurité
correspondants et à la présente loi.
(2) Si l’autorité nationale constate que les activités d’un organisme d‘évaluation de la conformité qui
émet des certificats de cybersécurité européens au niveau d’assurance dit « élémentaire » et « substantiel
», tels que définis dans l’article 52 du règlement (UE) n° 2019/881, n’est pas conforme aux exigences du
règlement (UE) n° 2019/881, des actes d’exécution pris en son exécution, des schémas européens de
certification de cybersécurité correspondants et à la présente loi, elle invite l’organisme d‘évaluation de la
conformité à se conformer à ces exigences, dans les délais qu’elle détermine. Si, passé ce délai, l’organisme
d‘évaluation de la conformité ne s’est pas conformé à ces exigences, l’autorité nationale peut appliquer des
sanctions administratives prévues à l’article 9 de la présente loi, respectivement dénonce les infractions par
rapport à l’article 10 de la présente loi.
(3) Si l’autorité nationale constate que les activités d’un organisme d‘évaluation de la conformité, tel que
défini dans l’article 56 paragraphe 6 a) ou b) du règlement (UE) n° 2019/881, qui émet des certificats de
cybersécurité européens au niveau d’assurance dit « élevé », tels que définis dans l’article 52 du règlement
(UE) n° 2019/881, ne sont pas conformes aux exigences du règlement (UE) n° 2019/881, des actes d’exécution
pris en son exécution, des schémas européens de certification de cybersécurité correspondants et à la
présente loi, elle invite l’organisme d‘évaluation de la conformité à se conformer à ces exigences, dans les
5
délais qu’elle détermine. Si, passé ce délai, l’organisme d‘évaluation de la conformité ne s’est pas conformé
à ces exigences, l’autorité nationale peut décider des sanctions administratives prévues à l’article 9 de la
présente loi, respectivement dénonce les infractions par rapport à l’article 10 de la présente loi.
(4) Si l’autorité nationale constate que les activités d’un titulaire de certificats ou d’un émetteur d’une
déclaration de conformité ne sont pas conformes aux exigences du règlement (UE) n° 2019/881, des actes
d’exécution pris en son exécution, des schémas européens de certification de cybersécurité correspondants
et à la présente loi, elle invite le titulaire de certificats respectivement l’émetteur d’une déclaration de
conformité à se conformer, dans les délais qu’elle détermine. Si, passé ce délai, le titulaire de certificats ou
l’émetteur d’une déclaration de conformité ne s’est pas conformé à ces exigences, l’autorité nationale peut
leur appliquer des sanctions administratives prévues à l’article 9 de la présente loi, respectivement dénonce
les infractions par rapport à l’article 10 de la présente loi.
(5) En cas de constatation d’une violation grave par un titulaire de certificats, d’un émetteur d’une
déclaration de conformité ou d’un organisme d‘évaluation de la conformité des exigences fixées dans le
règlement (UE) n° 2019/881, des actes d’exécution pris en son exécution, des schémas européens de
certification de cybersécurité, à la législation européenne applicable et à la présente loi, l’autorité nationale
peut en informer à telles fins que de droit les ministères compétents. Les rapports établis à l’attention de
l’autorité nationale peuvent être communiqués à ces autorités, dans la mesure où le titulaire de certificats et
l’émetteur de déclarations de conformité en a reçu communication par l’autorité nationale.
(6) L’autorité nationale peut procéder à tout moment, aussi sur demande dûment justifiée de personnes
intéressées, à des vérifications dans le contexte de l’octroi du maintien ou du retrait d’un certificat de
cybersécurité européen ou d’une publication d’une déclaration de conformité de l’Union européenne.
L’autorité nationale peut avoir recours à des experts externes pour effectuer ces vérifications. Les frais
d’experts sont couverts par les titulaires de certificats de cybersécurité européens de cybersécurité
européens, les émetteurs de déclarations de conformité de l’Union européenne et les organismes
d’évaluation de la conformité.
(7) L’autorité nationale peut collaborer avec d’autres autorités compétentes dans un autre Etat membre
pour exécuter ses tâches de supervision. Si l’autorité nationale rencontre des difficultés dans l’exercice de ses
pouvoirs de contrôle, elle peut requérir l’assistance de la Police grand-ducale en vertu des dispositions
contenues aux articles 27 et ss dans la loi du 18 juillet 2018 sur la Police Grand-Ducale.
(8) L’autorité nationale peut, dès lors que c’est dans l’intérêt public, publier soit au Journal officiel du
Grand-Duché de Luxembourg, soit dans un ou plusieurs journaux luxembourgeois ou étrangers, un retrait
d’un certificat de cybersécurité européen.
6
CHAPITRE 4 – Sanctions.
Art 9. Sanctions administratives
(1) Le chef de l’administration de l’ILNAS peut infliger une amende administrative de 250 euros à 25 000
euros aux émetteurs de déclarations de conformité de l’Union européenne qui enfreignent :
a) l’article 53, paragraphe 1er, du règlement (UE) n° 2019/881 en produisant des déclarations de
conformité d’un niveau autre que « élémentaire » ;
b) l’article 54,paragraphe 1er, point e°, du règlement (UE) n° 2019/881, en publiant des déclarations de
conformité alors que ce n’est pas prévu dans le schéma européen de certification ;
c) les dispositions du schéma européen de certification de cybersécurité concernant l’utilisation des labels
et des marques conformément à l’article 54, paragraphe 1er, point i°, du règlement (UE) n° 2019/881 ;
d) l’article 53, paragraphe 2, du règlement (UE) n° 2019/881 et les dispositions du schéma européen de
certification de cybersécurité concernant les contrôles préalables à la publication des déclarations de
conformité des exigences relatives à l’article 54, paragraphe 1er, point j°, du règlement (UE) n° 2019/881
;
e) les dispositions du schéma européen de certification de cybersécurité concernant les conséquences
résultant du contrôle des exigences et ne mettent pas à jour les déclarations de conformité
conformément à l’article 54, paragraphe 1er, point l°, du règlement (UE) n° 2019/881 ;
f) les dispositions du schéma européen de certification de cybersécurité concernant le traitement des
vulnérabilités de cybersécurité non détectées précédemment conformément aux articles 54,
paragraphe 1er, point m°, et 56, paragraphe 8, du règlement (UE) n° 2019/881 ;
g) les dispositions du schéma européen de certification de cybersécurité concernant le format ou le
contenu des déclarations de conformité conformément à l’article 54, paragraphe 1er, point p°, du
règlement (UE) n° 2019/881 ;
h) l’article 53, paragraphe 3 du règlement (UE) n° 2019/881, et les dispositions du schéma européen de
certification de cybersécurité de l’article 54, paragraphe 1er, point q°, du règlement (UE) n° 2019/881,
concernant la disponibilité de la déclaration de conformité;
i) l’ article 55 du règlement (UE) n° 2019/881, en ne mettant les informations supplémentaires spécifiées
dans le schéma européen de certification de cybersécurité pas à disposition du public, respectivement
en ne les mettant pas à jour ;
j) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881 en ne mettant pas à disposition de
l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches ;
k) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881, en entravant les enquêtes de
l’ILNAS.
(2) Le chef de l’administration de l’ILNAS peut infliger une amende administrative de 250 euros à 25.000
euros aux titulaires de certificats de cybersécurité européens qui enfreignent :
a) les articles 55, paragraphe 1er, points a°, b°, c°, ou d°, ou 55, paragraphe 2, du règlement (UE)
n° 2019/881, en ne mettant les informations supplémentaires spécifiées dans le schéma européen de
certification de cybersécurité pas à disposition du public, respectivement en ne les mettant pas à jour
;
b) les articles 52, paragraphe 2, et 54, paragraphe 1er, point d°, du règlement (UE) n° 2019/881, en publiant
des informations par rapport à leur certification sans spécifier le niveau d’assurance ;
7
c) les dispositions du schéma européen de certification de cybersécurité concernant l’utilisation des labels
et des marques conformément à l’article 54, paragraphe 1er, point i°, du règlement (UE) n° 2019/881 ;
d) les dispositions du schéma européen de certification de cybersécurité concernant son champ
d’application relatives à l’article 54, paragraphe 1er, point a°, du règlement (UE) n° 2019/881, en ne
mettant pas ces informations à disposition du public.
(3) Le chef de l’administration de l’ILNAS peut infliger une amende administrative de 250 euros à 25 000
euros aux titulaires de certificats de cybersécurité européens qui, au niveau d’assurance dit « élémentaire »,
enfreignent les dispositions du schéma européen de certification de cybersécurité concernant le traitement
des vulnérabilités de cybersécurité non détectées précédemment conformément aux articles 54, paragraphe
1er, point m°, et 56, paragraphe 8, du règlement (UE) n° 2019/881.
(4) Le chef de l’administration de l’ILNAS peut infliger une amende administrative de 250 euros à 25 000
euros aux titulaires de certificats de cybersécurité européens qui, au niveau d’assurance dit « élémentaire »
ou « substantiel », enfreignent :
a) les dispositions du schéma européen de certification de cybersécurité concernant le format ou le
contenu des certificats de cybersécurité européens conformément à l’article 54, paragraphe 1er, point
p°, du règlement (UE) n°2019/881 ;
b) les disposition du schéma européen de certification de cybersécurité concernant la période de
disponibilité de la documentation technique ou de toutes les autres informations pertinentes qui
doivent être mises à disposition par le fabricant ou le fournisseur de produits TIC, services TIC ou
processus TIC, conformément aux articles 53, paragraphe 3, et 54, paragraphe 1er, point q°, du
règlement (UE) n° 2019/881;
c) les disposition du schéma européen de certification de cybersécurité concernant la durée maximale de
validité des certificats conformément à l’article 54, paragraphe 1er, point r°, du règlement (UE)
n° 2019/881 ;
d) l’article 56, paragraphe 7, du règlement (UE) n° 2019/881, en ne mettant pas à disposition de l’ILNAS
respectivement de l’organisme d’évaluation de la conformité les informations nécessaires à une
certification ;
e) l’article 56, paragraphe 8, du règlement (UE) n° 2019/881, en n’informant pas l’ILNAS respectivement
l’organisme d’évaluation de la conformité de vulnérabilités ou d’irrégularités susceptibles d’avoir une
incidence sur son respect des exigences liées à la certification ;
f) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881, en ne mettant pas à disposition de
l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches ;
g) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881, en entravant les enquêtes de
l’ILNAS.
(5) Le chef de l’administration de l’ILNAS peut infliger une amende administrative de 250 euros à 25 000
euros aux organismes d’évaluation de la conformité qui certifient au niveau d’assurance dit « élémentaire »
et qui enfreignent:
a) l’article 52, paragraphe 5 du règlement (UE) n° 2019/881 en n’appliquant pas les activités d’évaluation
appropriées lors d’une certification ;
b) l’article 56, paragraphe 4, du règlement (UE) n° 2019/881 en ne respectant pas, lors de leur
certification, les critères figurant dans les schémas de certification tel que définis dans les articles 54,
8
paragraphe 1er, point a°, paragraphe 1er, point d°, paragraphe 1er, point f°, paragraphe 1er, point g°,
paragraphe 1er, point j°, paragraphe 1er, point k°, paragraphe 1er, point l°, paragraphe 1er, point n° ;
c) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881 en ne mettant pas à disposition de
l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches ;
d) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881 en entravant les enquêtes de l’ILNAS
;
e) l’article 63, paragraphes 1er ou 2, du règlement (UE) n° 2019/881, en n’acceptant pas respectivement
ne traitant pas les réclamations en rapport avec un certificat de cybersécurité européen délivré par luimême ;
f) l’annexe du règlement (UE) n° 2019/881, en ne respectant pas les exigences auxquelles doivent
satisfaire les organismes d’évaluation de la conformité telles que spécifiées ;
g) l’article 54, paragraphe 1er, point i°, du règlement (UE) n° 2019/881 et les dispositions du schéma
européen de certification de cybersécurité en délivrant des certificats non conformes ;
h) l’article 56, paragraphe 5, du règlement (UE) n° 2019/881 respectivement l’article 56, paragraphe 6, en
octroyant, renouvelant ou en retirant des certificats du schéma européen de certification de
cybersécurité sans avoir le mandat, respectivement sans disposer de l’accréditation requise.
(6) L’Administration de l’enregistrement, des domaines et de la TVA est chargée du recouvrement des
amendes qui lui sont communiquées par le directeur de l’administration compétente. Le recouvrement est
poursuivi comme en matière d’enregistrement.
(7) Les décisions d’infliger une amende administrative en vertu du présent article sont susceptibles d’un
recours en réformation à introduire devant le tribunal administratif, dans le délai de trois mois à compter de
la notification.
Art. 10. Sanctions pénales
(1) Sont punis d’une amende de 251 euros jusqu’à 25 000 euros et d’une peine d’emprisonnement de
huit jours à 6 mois ou d’une de ces peines seulement les titulaires de certificats de cybersécurité européen,
au niveau d’assurance dit ‘substantiel’, qui enfreignent :
a) les dispositions du schéma européen de certification de cybersécurité concernant le traitement des
vulnérabilités de cybersécurité non détectées précédemment conformément aux articles 54,
paragraphe 1er, point m°, et 56, paragraphe 8, du règlement (UE) n° 2019/881 ;
b) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881, en ne mettant pas à disposition
de l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches ;
c) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881, en entravant les enquêtes de
l’ILNAS.
(2) Sont punis d’une amende de 251 euros jusqu’à 500 000 euros et d’une peine d’emprisonnement de
huit jours à 5 ans ou d’une de ces peines seulement, les titulaires de certificats de cybersécurité européens,
au niveau d’assurance dit ‘élevé’, qui enfreignent :
9
a) les dispositions du schéma européen de certification de cybersécurité concernant le format ou le
contenu des certificats de cybersécurité européens conformément à l’article 54, paragraphe 1er, point
p°, du règlement (UE) n° 2019/881 ;
b) les dispositions du schéma européen de certification de cybersécurité concernant la période de
disponibilité de la documentation technique ou de toutes les autres informations pertinentes qui
doivent être mises à disposition par le fabricant ou le fournisseur de produits TIC, services TIC ou
processus TIC, conformément aux articles 53, paragraphe 3, et 54, paragraphe 1er, point q°, du
règlement (UE) n° 2019/881;
c) les dispositions du schéma européen de certification de cybersécurité concernant le traitement des
vulnérabilités de cybersécurité non détectées précédemment conformément aux articles 54,
paragraphe 1er, point m°, et 56, paragraphe 8, du règlement (UE) n° 2019/881 ;
d) les dispositions du schéma européen de certification de cybersécurité concernant la durée maximale
de validité des certificats conformément à l’article 54, paragraphe 1er, point r°, du règlement (UE)
n° 2019/881 ;
e) l’article 56, paragraphe 7, du règlement (UE) n° 2019/881, en ne mettant pas à disposition de l’ILNAS
respectivement de l’organisme d’évaluation de la conformité les informations nécessaires à une
certification ;
f) l’article 56, paragraphe 8, du règlement (UE) n° 2019/881, en n’informant pas l’ILNAS respectivement
l’organisme d’évaluation de la conformité de vulnérabilités ou d’irrégularités susceptibles d’avoir une
incidence sur son respect des exigences liées à la certification ;
g) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881, en ne mettant pas à disposition de
l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches.
h) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881, en entravant les enquêtes de
l’ILNAS.
(3) Sont punis d’une amende de 251 euros jusqu’à 25 000 euros et d’une peine d’emprisonnement de
huit jours à 6 mois ou d’une de ces peines seulement aux organismes d’évaluation de la conformité européens
qui certifient au niveau d’assurance dit ‘substantiel’ ou ‘élevé, et qui enfreignent l’article 63, paragraphes 1er
et 2, du règlement (UE) n° 2019/881, en n’acceptant pas respectivement ne traitant pas les réclamations en
rapport avec un certificat de cybersécurité européen délivré par lui-même.
(4) Sont punis d’une amende de 251 euros jusqu’à 250 000 euros et d’une peine d’emprisonnement de
huit jours à 2 ans ou d’une de ces peines seulement les organismes d’évaluation de la conformité européens
qui certifient au niveau d’assurance ‘substantiel’, et enfreignent :
a) l’article 52, paragraphe 6, du règlement (UE) n° 2019/881 en n’appliquant pas les activités d’évaluation
appropriées lors d’une certification ;
b) l’article 56, paragraphe 4, du règlement (UE) n° 2019/881 en ne respectant pas, lors de leur
certification, les critères figurant dans les schémas de certification tel que définis dans les articles 54,
paragraphe 1er, point a°, paragraphe 1er, point d°, paragraphe 1er, point f°, paragraphe 1er, point g°,
paragraphe 1er, point j°, paragraphe 1er, point k°, paragraphe 1er, point l°, paragraphe 1er, point n° ;
c) l’article 60, paragraphe 1, du règlement (UE) n° 2019/881 en octroyant, renouvelant ou en retirant des
certificats du schéma européen de certification de cybersécurité sans avoir été accrédité ;
d) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881 en ne mettant pas à disposition de
l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches ;
10
e) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881 en entravant les enquêtes de
l’ILNAS;
f) l’annexe du règlement (UE) n° 2019/881, en ne respectant pas les exigences auxquelles doivent
satisfaire les organismes d’évaluation de la conformité telles que spécifiées;
g) l’article 54, paragraphe 1er, point i°, du règlement (UE) n° 2019/881 et les dispositions du schéma
européen de certification de cybersécurité en délivrant des certificats non conformes.
(5) Sont punis d’une amende de 251 euros jusqu’à 500 000 euros et d’une peine d’emprisonnement de
huit jours à 5 ans ou d’une de ces peines seulement tous organismes d’évaluation de la conformité qui
certifient au niveau d’assurance dit ‘élevé’ et qui enfreignent :
a) l’article 52, paragraphe 7, du règlement (UE) n° 2019/881 en n’appliquant pas les activités
d’évaluation appropriées lors d’une certification ;
b) l’article 56, paragraphe 5, du règlement (UE) n° 2019/881) respectivement l’article 56,
paragraphe 6, en octroyant, renouvelant ou en retirant des certificats du schéma européen de
certification de cybersécurité sans avoir le mandat;
c) l’article 58, paragraphe 8, point a°, du règlement (UE) n° 2019/881 en ne mettant pas à disposition
de l’ILNAS toute information dont elle a besoin pour l’exécution de ses tâches ;
d) l’article 58, paragraphe 8, point b°, du règlement (UE) n° 2019/881 en entravant les enquêtes de
l’ILNAS ;
e) l’annexe du règlement (UE) n° 2019/881, en ne respectant pas les exigences auxquelles doivent
satisfaire les organismes d’évaluation de la conformité telles que spécifiées;
f) l’article 54, paragraphe 1er, point i°, du règlement (UE) n°2019/881 et les dispositions du schéma
européen de certification de cybersécurité en délivrant des certificats non conformes.
(6) Est puni d’une amende de 251 euros à 500 000 euros et d’une peine d’emprisonnement de huit jours
à cinq ans ou d’une de ces peines seulement toute personne qui ne s’est pas conformée au secret
professionnel prévu par l’article 6, paragraphe 1er.
CHAPITRE 5 – Dispositions modificatives.
Art 11. Modification de la loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS
La loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS est modifiée comme suit :
1° Dans l’ensemble de la loi, les termes « département de la confiance numérique » sont remplacés par les
termes « Organisme luxembourgeois de la confiance numérique ».
2° A l’article 4, au point 5°, de la même loi, le point final est remplacé par un point-virgule et à la fin du point
5°, un nouveau point 6° au libellé suivant est inséré :
« 6° à assumer les tâches d’autorité nationale de certification de cybersécurité au sens de l’article 58 du
règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence
de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de
l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 ».
11
III.
Commentaire des articles
CHAPITRE 1er - Autorités compétentes et représentation nationale
Ad article 1er - Autorité nationale de certification de cybersécurité
L’article 1er du projet de loi désigne l’Institut luxembourgeois de la normalisation, de l’accréditation, de la
sécurité et qualité des produits et des services (ci-après « l’ILNAS ») en tant qu’autorité nationale de
certification de cybersécurité au sens de l’article 58 du règlement (UE) n° 2019/881 du Parlement européen
et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la
certification de cybersécurité des technologies de l’information et des communications, et abrogeant le
règlement (UE) n° 526/2013 (règlement sur la cybersécurité) [ci-après, le « règlement n° 2019/881 »].
Etant l’autorité nationale de certification de cybersécurité, l’ILNAS assure les tâches de supervision des
organismes d’évaluation de la conformité, des émetteurs de déclarations de conformité de l’Union
européenne et des titulaires de certificats de cybersécurité européens visés par le règlement n° 2019/881.
Ad article 2 - Groupe européen de certification de cybersécurité
L’article 2 précise que l’ILNAS est membre du groupe européen de certification de cybersécurité au sens de
l’article 62 du règlement (UE) n° 2019/881 (ci-après « le GECC »). L’ILNAS représente le Grand-Duché du
Luxembourg au sein de l’Union européenne et participe à toutes les activités liées à ses missions.
Ad article 3 - Comité national de certification de cybersécurité
Cet article prévoit la création d’un comité national de certification de cybersécurité qui est placé sous
l’autorité du Ministère de l’Economie.
La certification européenne de cybersécurité est un moyen efficace pour renforcer la confiance dans le
domaine de la cybersécurité. L’échange d’informations entre les acteurs étatiques principaux qui sont le
ministère de l’Économie et le ministère d’État est important pour d’une part garantir que les certificats
répondent aux besoins de notre pays et d’autre part que tout événement susceptible d’avoir un impact
négatif sur l’économie nationale respectivement les infrastructures critiques soit échangé entre les parties
concernées.
La composition et l’organisation sont déterminées par règlement grand-ducal.
12
CHAPITRE 2 - Obligations
Section 1re - Obligations générales d’information
Ad article 4 - Accès aux informations
La certification de cybersécurité européenne a pour but de renforcer la confiance de toutes les parties
prenantes dans les produits services et processus certifiés. Pour ne pas nuire à cet effet positif pour
l’économie, il est nécessaire que les titulaires de certificats de cybersécurité européens et les émetteurs de
déclarations de conformité de l’Union européenne affichent clairement les prix ainsi que les conditions de
vente pour leurs produits, services et processus.
Ad article 5 - Echanges avec l’autorité nationale
Le paragraphe 1 énonce la nécessité pour les titulaires de certificats de cybersécurité européens, les
émetteurs de déclarations de conformité de l’Union européenne et les organismes de déclarations de
conformité de donner aux autorités compétentes un accès à toute information nécessaire pour démontrer et
vérifier la conformité de leurs produits TIC, services TIC et processus TIC aux exigences du règlement (UE)
n° 2019/881 et par rapport aux exigences énoncées dans les schémas de certification et le règlement. La
vérification de cette conformité est le garant de la confiance introduite par la certification de cybersécurité
européenne.
Le paragraphe 2 énonce la nécessité pour les titulaires de certificats de cybersécurité européens, les
émetteurs de déclarations de conformité de l’Union européenne et les organismes d’évaluation de la
conformité d’informer l’ILNAS de toute vulnérabilité ou irrégularité détectée ultérieurement qui est
susceptible d’avoir une incidence sur le respect des exigences du règlement (UE) n° 2019/881, des schémas
européens de certification de cybersécurité, à la législation européenne applicable et à la présente loi, pour
tous les des produits TIC, services TIC et processus TIC couverts par un certificat de cybersécurité européen
ou une déclaration de conformité de l’Union européenne. Il importe de détecter ces vulnérabilités et
irrégularités, qui auront un impact sur toutes les parties prenantes, notamment les citoyens et entreprises,
et de permettre à l’ILNAS d’effectuer ses missions de surveillance et de contrôle qui pourra vérifier la
remédiation aux vulnérabilités ou irrégularités pour rapidement réduire le risque global en matière de
cybersécurité et, par-là, de renforcer la cybersécurité.
Section 2 - Obligations du secret professionnel
Ad article 6 - Secret professionnel
Tous les acteurs doivent se tenir au secret professionnel pour protéger leurs activités et tous les utilisateurs
de certificats de cybersécurité européen et de déclarations de conformité de l’Union européenne.
L’article 10 punit spécifiquement le non-respect du secret professionnel par des sanctions pénales en veillant
au caractère effectif, proportionné et dissuasif des sanctions applicables.
13
Section 3 - Les organismes d’évaluation de la conformité
Ad article 7 - Obligations des organismes d’évaluation de la conformité
En vertu de l’article 60 du règlement (UE) n° 2019/881, les organismes d’évaluation de la conformité
accrédités doivent en informer l’ILNAS, se soumettre à leur contrôle et le tenir informé des certificats délivrés.
CHAPITRE 3 - L’autorité nationale
Ad article 8 - Rôle de l’autorité nationale
Comme autorité nationale de certification de cybersécurité et membre du groupe européen de certification
de cybersécurité, l’ILNAS dispose des pouvoirs d’investigation et d’enquête prévus dans le règlement (UE)
n° 2019/881, dans les règlements pris en son exécution et dans les schémas européens de certification de
cybersécurité. Pour assurer la conformité de toutes ces exigences, renforcer la confiance et partant améliorer
leur résilience générale face aux cyberattaques, l’ILNAS devra avoir les pouvoirs et les moyens nécessaires
pour investiguer des non-conformités potentielles et éviter les impacts de matérialisation de risques
éventuels, causant des perturbations aux personnes physiques ou morales ou au bon fonctionnement de
l’économie nationale. Afin d’assurer ce rôle, l’ILNAS peut inviter les titulaires de certificats de cybersécurité
européens niveau « élémentaire » , « substantiel » et « élevé », les organismes d’évaluation de la
conformité de certificats de cybersécurité européen au niveau de l’octroi, du renouvellement et du retrait de
la certification et les émetteurs de déclarations de conformité de l’Union européenne à se conformer aux
exigences du règlement (UE) n° 2019/881, des actes d’exécution pris en son exécution et à la présente loi,
dans les délais qu’il détermine. Passé ce délai, l’ILNAS peut appliquer des sanctions administratives à cette
non-conformité en vertu de l’article 9.
Dans le cadre de sa mission de supervision l’ILNAS peut, en vertu des articles 27 et suivants de la loi du 18
juillet sur la Police grand-ducale, se voir obligé d’avoir recours à la Police grand-ducale. Il pourrait s’avérer
judicieux de pouvoir demander l’assistance de la Police grand-ducale en vue d’avoir par exemple accès aux
locaux ou d’avoir une assistance d’ordre sécuritaire se traduisant par la protection physique des agents ILNAS.
En cas de constatation d’une violation grave l’ILNAS peut en informer à telles fins que de droit les Ministères
compétents parce qu’il est jugé nécessaire de communiquer ces informations aux autorités compétentes pour
des questions de sécurité nationale ou autre.
L’ILNAS peut publier pour informer le public, dans l’intérêt public, soit au Journal officiel du Grand-Duché de
Luxembourg, soit dans un ou plusieurs journaux luxembourgeois ou étrangers, un retrait d’un certificat de
cybersécurité européen.
14
CHAPITRE 4 - Sanctions
Les sanctions administratives et pénales sont le fruit d’une longue réflexion. Elles reflètent d’une part, en
vertu de l’article 65 du règlement (UE) n° 2019/881, la nécessité de fixer des sanctions effectives,
proportionnées et dissuasives, et d’autre part elles s’appliquent aux différents niveaux d’assurance et
nuancent les sanctions conférées. La combinaison de ces critères a permis d’adapter les sanctions des
émetteurs de déclarations de conformité de l’Union européenne, des titulaires de certificats de cybersécurité
européens, des organismes d’évaluation de la conformité européens et toute personne visée par l’article 6
de la présente loi en fonction de la gravité des faits et de la répercussion économique sur l’écosystème du
pays et de ses citoyens.
Ad article 9 - Sanctions administratives
L’ILNAS peut recourir à des amendes administratives allant de 250 euros à 25 000 euros dans le cadre du
contrôle et de la surveillance des émetteurs de déclarations de conformité de l’Union européenne, des
titulaires de certificats de cybersécurité européens et des organismes d’évaluation de la conformité
européens qui enfreignent les droits et devoirs prévus par le droit national ou le règlement (UE) n° 2019/881
et notamment des niveaux d’assurance dits ‘élémentaire’ et ‘substantiel’.
Ad article 10 - Sanctions pénales
Les paragraphes 1 et 2 de cet article punissent, conformément au règlement (UE) n° 2019/881, les titulaires
de certificats de cybersécurité européens des manquements de niveaux d’assurance dits ‘substantiel’ et
‘élevé’.
Les paragraphes 3, 4 et 5 de cet article punissent, conformément au règlement (UE) n° 2019/881, les
organismes d’évaluation de la conformité européens qui commettent des manquements de niveaux
d’assurance ‘substantiel’ et ‘élevé’.
Le paragraphe 6 sanctionne toute personne qui ne s’est pas conformée au secret professionnel prévu par
l’article 7, paragraphe 1.
Chapitre 5 - Dispositions modificatives
Ad article 11
Le point 1 tient lieu d’une réorganisation interne au sein de l’ILNAS.
Le point 2 se réfère à la désignation de l’article 1er et en ce sens modifie l’article 4 de la loi modifiée du 4 juillet
2014 portant réorganisation de l’ILNAS.
La loi modifiée du 4 juillet 2014 portant réorganisation de l’ILNAS est actuellement en cours de révision dans
le dossier parlementaire N° 7767 et l’avis du Conseil d’Etat N° 60.531.
Le présent projet de loi n’interfère pas avec les travaux en cours.
15
IV.
Fiche financière
(art. 79 de la loi du 8 juin 1999 sur le Budget, la Comptabilité et la Trésorerie de l’Etat)
Le projet de loi ne comporte pas de dispositions dont l’application est susceptible de grever le budget de
l’Etat.
16
V.
Fiche d’évaluation d’impact
Mesures législatives et réglementaires
Intitulé du projet: Projet de loi du jj/mm/aaaa portant sur certaines modalités d’application et les sanctions
du règlement (UE) n°2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence
de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de
l’information et des communications, et abrogeant le règlement (UE) n°526/2013 (règlement sur la
cybersécurité) [ci-après, le « règlement (UE) n° 2019/881 »].
Ministère initiateur: Ministère de l’Économie
Auteur: Annick Hartung
Tél .: +352 247 84320
Courriel: Annick.Hartung@eco.etat.lu
Objectif(s) du projet: Mise en œuvre d’un règlement communautaire
Autre(s) Ministère(s)/Organisme(s)/Commune(s) impliqué(e)(s): le Ministère d’Etat, le Ministère des
Finances, le Ministère de la Justice et l’ILNAS
Date: décembre 2022
Mieux légiférer
1.
Partie(s) prenante(s) (organismes divers, citoyens,…) consultée(s): Oui: X Non:
Si oui, laquelle/lesquelles: ……………………ILNAS, Ministère de la Justice……………………………………..
Remarques/Observations: …………………………………………………………..
2.
Destinataires du projet:
- Entreprises/Professions libérales:
- Citoyens:
Oui: X Non:
Oui: X Non:
- Administrations:
Oui: X Non:
Le principe « Think small first » est-il respecté?
(c.àd. des exemptions ou dérogations sont-elles prévues
suivant la taille de l’entreprise et/ou son secteur d’activité?)
Oui:
3.
Non: X N.a.:
Remarques/Observations: …………………………………………………………
17
4.
Le projet est-il lisible et compréhensible pour le destinataire?
Existe-il un texte coordonné ou un guide pratique, mis à jour
et publié d’une façon régulière?
Oui: X Non:
Oui:
Non: X
Remarques/Observations: ……………………………………………………………
5.
Le projet a-t-il saisi l’opportunité pour supprimer ou
simplifier des régimes d’autorisation et de déclaration
existants, ou pour améliorer la qualité des procédures?
Oui: X Non:
Remarques/Observations: ………………….………………………………………….
6.
Le projet contient-il une charge administrative pour le(s)
destinataire(s)? (un coût imposé pour satisfaire à une
obligation d’information émanant du projet?)
Si oui, quel est le coût administratif approximatif total?
(nombre de destinataires x coût administratif par destinataire)
………………….
a) Le projet prend-il recours à un échange de données interadministratif (national ou international) plutôt que de demander
l’information au destinataire?
Si oui, de quelle(s) donnée(s) et/ou administration(s) s’agit-il?
Oui:
Non: X
………………….
b) Le projet en question contient-il des dispositions spécifiques
concernant la protection des personnes à l’égard du traitement
des données à caractère personnel?
Si oui, de quelle(s) donnée(s) et/ou administration(s) s’agit-il?
Oui:
Non: X
………………….
7.
8.
9.
Le projet prévoit-il:
- une autorisation tacite en cas de non réponse
de l’administration?
- des délais de réponse à respecter par l’administration?
- le principe que l’administration ne pourra demander
des informations supplémentaires qu’une seule fois?
Y a-t-il une possibilité de regroupement de formalités et/ou
de procédures (p. ex. prévues le cas échant par un autre texte)?
Oui:
Non: X
Oui:
Oui:
Non: X N.a.:
Non:X N.a.:
Oui:
Non: X N.a.:
Oui:
Non: X
Si oui, laquelle: ……………………………………………..................................
18
10. En cas de transposition de directives communautaires,
le principe « la directive, rien que la directive » est-il respecté?
Oui:
Non:
N.a.: X
Si non, pourquoi? ……………………………………………..................................
11. Le projet contribue-t-il en général à une:
a. simplification administrative, et/ou à une
b. amélioration de qualité règlementaire?
Oui: X Non:
Oui: X Non:
Remarques/Observations: …………………………………………………………….
12. Des heures d’ouverture de guichet, favorables et adaptées
aux besoins du/des destinataire(s), seront-elles introduites?
Oui:
Non:
13. Y a-t-il une nécessité d’adapter un système informatique
auprès de l’Etat (e-Government ou application back-office)?
Oui:
Non: X
Oui:
Non: X N.a.:
N.a.: X
Si oui, quel est le délai pour disposer du nouveau système ?
14. Y a-t-il un besoin en formation du personnel
de l’administration concernée?
Si oui, lequel? ……………………………………………………………………
Remarques/Observations: ………………………………………………………..
Egalité des chances
15. Le projet est-il:
- principalement centré sur l'égalité des femmes et des hommes? Oui:
- positif en matière d'égalité des femmes et des hommes?
Oui:
Non:
Non:
Si oui, expliquez de quelle manière: …………………………………………………..
- neutre en matière d'égalité des femmes et des hommes?
Oui:
Non:
Si oui, expliquez pourquoi: Tous les documents sont concernés indifféremment du genre
- négatif en matière d'égalité des femmes et des hommes?
Oui:
Non:
Si oui, expliquez de quelle manière: …………………………………………………
16. Y a-t-il un impact financier différent sur
Oui:
les femmes et les hommes ?
Si oui, expliquez de quelle manière: ……………………………………………………
Non:
N.a.:
19
Directive « services »
17. Le projet introduit-il une exigence relative à la liberté
d’établissement soumise à évaluation1 ?
Oui:
Non:
N.a.:
18. Le projet introduit-il une exigence relative à la libre
prestation de services transfrontaliers 2 ?
Oui:
Non:
N.a.:
1
2
Article 15, paragraphe 2, de la directive « services » (cf. Note explicative p. 10-11)
Article 16, paragraphe 1, troisième alinéa et paragraphe 3, première phrase de la directive « services » (cf. Note explicative, p.10-11)
20
TC 19/12/2022
TEXTE COORDONNE
Loi ILNAS
Loi du 4 juillet 2014 portant réorganisation de l’ILNAS
(Mém. A – 135 du 28 juillet 2014, p. 2144, doc. parl. 6315)
modifiée par:
Loi du 25 mars 2015;
(Mém. A – 51 du 31 mars 2015, p. 1130, doc. parl. 6459)
Loi du 23 décembre 2016;
(Mém. A – 268 du 27 décembre 2016, p. 4751, doc. parl. 6981)
Loi du 23 décembre 2016;
(Mém. A – 268 du 27 décembre 2016, p. 4771, doc. parl. 6902)
Loi du 17 février 2017;
(Mém. A – 223 du 1er mars 2017, doc. parl. 7043)
Loi du 5 mai 2017;
(Mém. A – 484 du 12 mai 2017, doc. parl. 7039)
Loi du 14 décembre 2021;
(Mém. A – 871 du 15 décembre 2021, doc. parl. 7730)
Loi du 23 décembre 2022;
(Mém. A – du jj décembre 2022, doc. parl. 7767)
Projet de loi
(gras/souligné)
1
TC 19/12/2022
CHAPITRE Ier – Dispositions générales.
Art. 1er. Définitions.
Aux fins de la présente loi, l’on entend par:
(Loi du 23 décembre 2022)
1° accréditation: l’accréditation telle que définie à l’article 2, point 10°, du règlement (CE) n°
765/2008 du Parlement européen et du Conseil du 9 juillet 2008 fixant les prescriptions
relatives à l’accréditation et à la surveillance du marché pour la commercialisation des
produits et abrogeant le règlement (CEE) n°339/93 du Conseil, ci-après « règlement (CE) n°
765/2008 »;
2° audit : un processus systématique, indépendant et documenté, permettant d’obtenir des
enregistrements, des énoncés de faits ou d’autres informations pertinentes, et de les évaluer
de manière objective pour déterminer dans quelle mesure les exigences spécifiées sont
respectées;
3° bonnes pratiques de laboratoire : un système de garantie de qualité portant sur le mode
d’organisation des études de sécurité non cliniques ayant trait à la santé et à l’environnement
et sur les conditions dans lesquelles ces études sont planifiées, réalisées, contrôlées,
enregistrées, archivées et diffusées;
(Loi du 23 décembre 2022)
4° confiance numérique : climat de confiance dans l’environnement numérique, établi par la
5°
6°
7°
8°
9°
compétence de garantir la qualité et la sécurité d’un service numérique;
distributeur : toute personne physique ou morale faisant partie de la chaîne
d’approvisionnement, autre que le fabricant ou l'importateur, qui met un produit à disposition
sur le marché;
document normatif : un document qui donne des règles, des lignes directrices ou des
caractéristiques pour des activités ou leurs résultats.
L’expression «document normatif» est un terme générique qui recouvre les documents tels
que les normes, les spécifications techniques, les codes de bonne pratique et les règlements.
On considère comme «document» tout support d’information avec l’information qu’il porte.
Les termes relatifs aux différents types de documents normatifs sont définis comme
comprenant le document et son contenu considérés comme un tout;
étalon : la réalisation de la définition d'une grandeur donnée, avec une valeur déterminée et
une incertitude de mesure associée, utilisée comme référence;
étalon national : un étalon reconnu par une autorité nationale pour servir, dans un état ou
une économie, comme base à l'attribution de valeurs à d'autres étalons de grandeurs de
même nature;
évaluation de la conformité : un processus évaluant s'il est démontré que des exigences
spécifiées relatives à un produit, processus, service, système, personne ou organisme ont été
respectées;
(Loi du 23 décembre 2022)
10° fabricant : le fabricant tel que défini à l’article 3, point 8°, du règlement (UE) n° 2019/1020 du
Parlement européen et du Conseil du 20 juin 2019 sur la surveillance du marché et la
conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) n°
765/2008 et (UE) n° 305/2011, ci-après « règlement (UE) n° 2019/1020 »;
11° instruments de mesure : un dispositif utilisé pour faire des mesurages, seul ou associé à un ou
plusieurs dispositifs annexes;
2
TC 19/12/2022
12° importateur : toute personne physique ou morale établie dans l’Union européenne qui met
un produit provenant d’un pays tiers sur le marché intérieur de l’Union européenne;
13° infrastructure métrologique : les acteurs de la métrologie;
14° mandataire : toute personne physique ou morale établie dans l’Union européenne ayant reçu
mandat écrit d’un fabricant pour agir en son nom aux fins de l’accomplissement de tâches
déterminées qui sont liées aux obligations incombant à ce dernier en vertu de la législation de
l’Union européenne applicable;
15° métrologie légale : la partie de la métrologie se rapportant aux activités qui résultent
d’exigences réglementaires et qui s’appliquent aux mesurages, aux unités de mesure, aux
instruments de mesure et aux méthodes de mesure et sont effectuées par des organismes
d’évaluation de la conformité compétents;
16° mise à disposition sur le marché : toute fourniture d’un produit destiné à être distribué,
consommé ou utilisé sur le marché unique européen dans le cadre d’une activité commerciale,
à titre onéreux ou gratuit;
17° mise sur le marché : la première mise à disposition d’un produit sur le marché unique
européen;
18° normalisation : une activité propre à établir, face à des problèmes réels ou potentiels, des
dispositions destinées à un usage commun et répété, visant à l’obtention du degré optimal
d’ordre dans un contexte donné;
19° norme : un document établi par consensus et approuvé par un organisme luxembourgeois,
européen ou international reconnu à activité normative, qui fournit, pour des usages
communs et répétés, des règles, des lignes directrices ou des caractéristiques, pour des
activités ou leurs résultats, garantissant un niveau d’ordre optimal dans un contexte donné;
(Loi du 23 décembre 2022)
20° norme harmonisée : une norme telle que définie à l’article 2, point 1°, lettre c), du règlement
(UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la
normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi
que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE,
2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant
la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et
du Conseil;
(Loi du 23 décembre 2022)
21° opérateur économique : l’opérateur tel que défini à l’article 3, point 13°, du règlement (UE) n°
2019/1020;
22° organisme national d’accréditation : un organisme dans un Etat membre chargé de
l’accréditation, qui tire son autorité de cet Etat;
23° organisme d’évaluation de la conformité : un organisme qui effectue des opérations
d’évaluation de la conformité sous forme d’étalonnages, d’essais, de certification,
d’inspection, d’analyses ou de contrôles;
24° organisme de normalisation : un organisme à activités normatives reconnu au niveau national,
régional ou international, dont l’une des principales fonctions est la préparation,
l’approbation et l’adoption de normes qui sont mises à la disposition du public;
(Loi du 23 décembre 2022)
25° organisme notifié : un organisme d’évaluation de la conformité désigné et notifié auprès de la
Commission européenne par l’autorité notifiante pour effectuer des tâches d’évaluation de la
3
TC 19/12/2022
conformité prévues par la législation nationale transposant les dispositions législatives visant
l’harmonisation au niveau de l’Union européenne de la mise sur le marché de produits;
(Loi du 23 décembre 2022)
26° prestataire de services de confiance: un prestataire de services de confiance au sens de l’article
3, point 19°, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet
2014 sur l’identification électronique et les services de confiance pour les transactions
électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ;
(Loi du 23 décembre 2022)
26bis° prestataire de services de dématérialisation ou de conservation: un prestataire de services de
dématérialisation ou de conservation au sens de l’article 2, lettre h), de la loi du 25 juillet 2015
relative à l’archivage électronique;
27° produits en préemballages : des produits préemballés en quantités variables et produits en
préemballages à quantités nominales fixes;
(Loi du 23 décembre 2022)
27bis° produit présentant un risque grave: un produit tel que défini à l’article 3, point 20°, du
règlement (UE) n° 2019/1020;
28° programme de normalisation : le plan de travail d’un organisme à activités normatives
dressant la liste des questions faisant ou devant faire l’objet de travaux de normalisation;
29° rappel : toute mesure visant à obtenir le retour d’un produit qui a déjà été mis à la disposition
de l’utilisateur final;
30° (Loi du 23 décembre 2022 - supprimé) ...;
31° retrait : toute mesure visant à empêcher la mise à disposition sur le marché d’un produit de
la chaîne d’approvisionnement ou de retirer un produit de la chaîne d’approvisionnement;
(Loi du 23 décembre 2022)
32° surveillance du marché : la surveillance telle que définie à l’article 3, point 3°, du règlement
(UE) n° 2019/1020 ;
33° système international d’unités : le système d’unités, fondé sur le système international de
grandeurs, comptant les noms et symboles des unités, une série de préfixes avec leurs noms
et symboles, ainsi que des règles pour leur emploi.
CHAPITRE II – L’ILNAS et ses missions.
Section 1re – L’ILNAS.
Art. 2. Organisation.
(1) Il est créé une administration appelée « Institut luxembourgeois de la normalisation, de
l’accréditation, de la sécurité et qualité des produits et services », désignée par son acronyme
« ILNAS ».
L’ILNAS est placé sous l’autorité du membre du Gouvernement ayant l’Economie dans ses
attributions, ci-après dénommé « le ministre ».
Le directeur est responsable de la gestion de l’ILNAS. Il en est le chef hiérarchique.
(2) L’ILNAS est composé de six départements, à savoir:
1° l’Organisme luxembourgeois de normalisation,
4
TC 19/12/2022
2°
3°
le département de la confiance numérique Organisme luxembourgeois de la confiance
numérique,
l’Office luxembourgeois d’accréditation et de surveillance, désigné ci-après par l’acronyme
« OLAS »,
4°
5°
le département de la surveillance du marché,
le Bureau luxembourgeois de métrologie, et
6°
le département du budget et de l’administration.
Le directeur arrête les détails d’organisation et les modalités de fonctionnement des
départements.
(3) Dans l’exercice des attributions lui conférées en vertu des articles 3 à 11, l’ILNAS jouit de
l’indépendance scientifique.
Section 2 – Attributions de l’Organisme luxembourgeois de normalisation.
Art. 3. Normalisation.
(1) L’Organisme luxembourgeois de normalisation est l’organisme national de normalisation, dont
les attributions consistent:
1° à exécuter la stratégie normative et les politiques en matière de normalisation définies par le
ministre;
2° à harmoniser les règles sur lesquelles la normalisation doit être basée;
3° à recenser auprès des acteurs socio-économiques luxembourgeois les besoins en normes et
autres documents normatifs nouveaux et à préparer le programme de normalisation en
concordance avec la politique de normalisation déterminée par le ministre;
4° à coordonner au niveau national l’élaboration et l’adoption d’avant-projets de normes et
autres documents normatifs inscrits au programme de normalisation, par les « (Loi du 23
décembre 2022 - supprimé) … » parties intéressées « (Loi du 23 décembre 2022) inscrites au comité
technique de normalisation national respectif »;
(Loi du 23 décembre 2022)
4bis° à créer et à dissoudre des comités techniques, sous-comités et groupes de travail de
normalisation nationaux;
4ter° à faire appel aux acteurs socio-économiques luxembourgeois pour désigner des délégués
possédant l’expérience et les compétences nécessaires pour participer aux comités
techniques, sous-comités et groupes de travail de l’Organisme luxembourgeois de
normalisation et des organismes de normalisation européens et internationaux, et de gérer le
registre national des délégués en normalisation faisant partie des différents comités
techniques, sous-comités et groupes de travail ;
5° à adopter « (Loi du 23 décembre 2022 - supprimé) … » des normes et autres documents normatifs
nationaux élaborés de manière consensuelle entre les parties intéressées « (Loi du 23 décembre
2022) inscrites au comité technique de normalisation national respectif » et à faire publier
leurs références au Mémorial;
6° « (Loi du 23 décembre 2022 - supprimé) … »;
7° à publier au Mémorial les références des …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.