← Luxembourg

En bref

Cette loi vise à garantir un niveau élevé de cybersécurité en établissant des règles pour la sécurité des réseaux et des systèmes d'information, ainsi que pour la gestion des incidents. Elle modifie plusieurs lois existantes pour intégrer ces nouvelles dispositions.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
Projet de loi concernant des mesures destinées à assurer un niveau élevé de cybersécurité et portant modification de : 1° la loi modifiée du 14 août 2000 relative au commerce électronique ; 2° la loi modifiée du 23 juillet 2016 portant création d’un HautCommissariat à la Protection nationale ; 3° la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant 1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et 2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale ; 4° la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques Texte du projet de loi Chapitre 1er – Champ d’application et définitions Art. 1er. (1) La présente loi s’applique aux entités publiques ou privées d’un type visé à l’annexe I ou II qui constituent des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises, ou qui dépassent les plafonds prévus au paragraphe 1er dudit article, et qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. L’article 3, paragraphe 4, de l’annexe de ladite recommandation ne s’applique pas aux fins de la présente loi. (2) La présente loi s’applique également aux entités d’un type visé à l’annexe I ou II, quelle que soit leur taille, dans les cas suivants : 1° les services sont fournis par : a) des fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public ; b) des prestataires de services de confiance ; 1 c) des registres des noms de domaine de premier niveau et des fournisseurs de services de système de noms de domaine ; 2° l’entité est, au Luxembourg, le seul prestataire d’un service qui est essentiel au maintien d’activités sociétales ou économiques critiques ; 3° une perturbation du service fourni par l’entité pourrait avoir un impact important sur la sécurité publique, la sûreté publique ou la santé publique ; 4° une perturbation du service fourni par l’entité pourrait induire un risque systémique important, en particulier pour les secteurs où cette perturbation pourrait avoir un impact transfrontière ; 5° l’entité est critique en raison de son importance spécifique au niveau national ou régional pour le secteur ou le type de service en question, ou pour d’autres secteurs interdépendants au Luxembourg ; 6° l’entité est une entité de l’administration publique telle que définie à l’article 2, point 34°. (3) La présente loi s’applique aux entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil, quelle que soit leur taille. (4) La présente loi s’applique aux entités fournissant des services d’enregistrement de noms de domaine, quelle que soit leur taille. (5) La présente loi ne s’applique pas aux entités exclues du champ d’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 conformément à l’article 2, paragraphe 4, dudit règlement. (6) La présente loi est sans préjudice des dispositions de la loi modifiée du 15 juin 2004 relative à la classification des pièces et aux habilitations de sécurité et ne s’applique pas aux systèmes de communication et d'information où sont conservées ou traitées des pièces classifiées au sens de la loi précitée. (7) Lorsque des actes juridiques sectoriels de l’Union européenne imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente loi, les dispositions pertinentes de la présente loi, y compris celles relatives à la supervision et à l’exécution prévues au chapitre 6, ne sont pas applicables auxdites entités. Lorsqu’un acte juridique sectoriel de l’Union européenne ne couvre pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente loi, les dispositions pertinentes de la présente loi continuent de s’appliquer aux entités non couvertes par cet acte juridique sectoriel de l’Union européenne. Les exigences visées à l’alinéa 1er du présent paragraphe sont considérées comme ayant un effet équivalent aux obligations prévues par la présente loi lorsque : 2 1° les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l’article 12, paragraphes 1 et 2 ; ou 2° l’acte juridique sectoriel de l’Union européenne prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les CSIRT, les autorités compétentes ou les points de contact uniques en vertu de la présente loi, et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 14, paragraphes 1 à 6. Les autorités compétentes visées à l’article 3 déterminent, par voie de règlement ou de circulaire et conformément aux lignes directrices adoptées par la Commission européenne et clarifiant l’application des points 1° et 2°, les actes juridiques sectoriels de l’Union européenne ayant un effet au moins équivalent à la présente loi. Art. 2. Pour l’application de la présente loi, on entend par : 1° « réseau et système d’information » : a) un réseau de communications électroniques au sens de l’article 2, point 1°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques ; b) tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux lettres a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance ; 2° « sécurité des réseaux et des systèmes d’information » : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, ou des services que ces réseaux et systèmes d’information offrent ou rendent accessibles ; 3° « cybersécurité » : la cybersécurité au sens de l’article 2, point 1°, du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), tel que modifié ; 4° « incident évité » : un événement qui aurait pu compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles, mais dont la réalisation a pu être empêchée ou ne s’est pas produite ; 5° « incident » : un événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou faisant l’objet d’un traitement, ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles ; 3 6° « incident de cybersécurité majeur » : un incident qui provoque des perturbations dépassant les capacités de réaction du seul État membre concerné ou qui a un impact important sur au moins deux États membres ; 7° « traitement des incidents » : toutes les actions et procédures visant à prévenir, détecter, analyser et contenir un incident ou à y répondre et à y remédier ; 8° « risque » : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et de la probabilité qu’un tel incident se produise ; 9° « cybermenace » une cybermenace au sens de l’article 2, point 8°, du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), tel que modifié ; 10° « cybermenace importante » : une cybermenace qui, compte tenu de ses caractéristiques techniques, peut être considérée comme susceptible d’avoir un impact grave sur les réseaux et les systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable ; 11° « produit TIC » : un produit TIC au sens de l’article 2, point 12°, du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), tel que modifié ; 12° « service TIC » : un service TIC au sens de l’article 2, point 13°, du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), tel que modifié ; 13° « processus TIC » : un processus TIC au sens de l’article 2, point 14°, du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), tel que modifié ; 14° « vulnérabilité » : une faiblesse, susceptibilité ou faille de produits TIC ou de services TIC qui peut être exploitée par une cybermenace ; 15° « norme » : une norme au sens de l’article 2, point 1°, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil, tel que modifié ; 4 16° « spécification technique » : une spécification technique au sens de l’article 2, point 4°, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil, tel que modifié ; 17° « point d’échange internet » : une structure de réseau qui permet l’interconnexion de plus de deux réseaux indépendants (systèmes autonomes), essentiellement aux fins de faciliter l’échange de trafic internet, qui n’assure l’interconnexion que pour des systèmes autonomes et qui n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic ; 18° « système de noms de domaine » ou « DNS » : un système hiérarchique et distribué d’affectation de noms qui permet l’identification des services et des ressources internet, ce qui rend possible l’utilisation de services de routage et de connectivité internet par les dispositifs des utilisateurs finaux pour accéder à ces services et ressources ; 19° « fournisseur de services DNS » : une entité qui fournit : a) des services de résolution de noms de domaine récursifs accessibles au public destinés aux utilisateurs finaux de l’internet ; ou b) des services de résolution de noms de domaine faisant autorité pour une utilisation par des tiers, à l’exception des serveurs de noms de racines ; 20° « registre de noms de domaine de premier niveau » : une entité à laquelle un domaine de premier niveau spécifique a été délégué et qui est responsable de l’administration du domaine de premier niveau, y compris de l’enregistrement des noms de domaine relevant du domaine de premier niveau et du fonctionnement technique du domaine de premier niveau, notamment l’exploitation de ses serveurs de noms, la maintenance de ses bases de données et la distribution des fichiers de zone du domaine de premier niveau sur les serveurs de noms, que ces opérations soient effectuées par l’entité elle-même ou qu’elles soient sous-traitées, mais à l’exclusion des situations où les noms de domaine de premier niveau sont utilisés par un registre uniquement pour son propre usage ; 21° « entité fournissant des services d’enregistrement de noms de domaine » : un bureau d’enregistrement ou un agent agissant pour le compte de bureaux d’enregistrement, tel qu’un fournisseur ou revendeur de services d’anonymisation ou d’enregistrement fiduciaire ; 22° « service numérique » : un service au sens de l’article 1er, paragraphe 1er, lettre b), de la loi du 8 novembre 2016 prévoyant une procédure d'information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l'information ; 23° « service de confiance » : un service de confiance au sens de l’article 3, point 16°, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; 5 24° « prestataire de services de confiance » : un prestataire de services de confiance au sens de l’article 3, point 19°, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; 25° « service de confiance qualifié » : un service de confiance qualifié au sens de l’article 3, point 17°, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; 26° « prestataire de services de confiance qualifié » : un prestataire de services de confiance qualifié au sens de l’article 3, point 20°, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE ; 27° « place de marché en ligne » : une place de marché en ligne au sens de l’article L. 010-1, point 15°, du Code de la consommation ; 28° « moteur de recherche en ligne » : un moteur de recherche en ligne au sens de l’article 2, point 5°, du règlement (UE) 2019/1150 du Parlement européen et du Conseil du 20 juin 2019 promouvant l’équité et la transparence pour les entreprises utilisatrices de services d’intermédiation en ligne ; 29° « service d’informatique en nuage » : un service numérique qui permet l’administration à la demande et l’accès large à distance à un ensemble modulable et variable de ressources informatiques pouvant être partagées, y compris lorsque ces ressources sont réparties à différents endroits ; 30° « service de centre de données » : un service qui englobe les structures, ou groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisées des équipements informatiques et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et infrastructures de distribution d’électricité et de contrôle environnemental ; 31° « réseau de diffusion de contenu » : un réseau de serveurs géographiquement répartis visant à assurer la haute disponibilité, l’accessibilité ou la fourniture rapide de contenu et de services numériques aux utilisateurs d’internet pour le compte de fournisseurs de contenu et de services ; 32° « plateforme de services de réseaux sociaux » : une plateforme qui permet aux utilisateurs finaux de se connecter, de partager, de découvrir et de communiquer entre eux sur plusieurs terminaux, notamment par conversations en ligne, publications, vidéos et recommandations ; 33° « représentant » : une personne physique ou morale établie dans l’Union européenne qui est expressément désignée pour agir pour le compte d’un fournisseur de services DNS, d’un registre de noms de domaine de premier niveau, d’une entité fournissant des services d’enregistrement de noms de domaine, d’un fournisseur d’informatique en nuage, d’un fournisseur de services de centre de données, d’un fournisseur de réseau de diffusion de contenu, d’un fournisseur de services gérés, d’un fournisseur de services de sécurité gérés ou 6 d’un fournisseur de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux non établi dans l’Union européenne, qui peut être contactée par une autorité compétente ou un CSIRT à la place de l’entité elle-même concernant les obligations incombant à ladite entité en vertu de la présente loi ; 34° « entité de l’administration publique » : toute entité, à l’exclusion de l’organisation judiciaire, de la Chambre des députés et de la Banque centrale du Luxembourg, qui satisfait aux critères suivants : a) elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial ; b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique ; c) elle est financée majoritairement par l’État, les autorités régionales ou d’autres organismes de droit public, sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé de membres dont plus de la moitié sont désignés par l’État, les autorités régionales ou d’autres organismes de droit public ; d) elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux ; 35° « réseau de communications électroniques public » : un réseau de communications électroniques public au sens de l’article 2, point 8°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques ; 36° « service de communications électroniques » : un service de communications électroniques au sens de l’article 2, point 4°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques ; 37° « entité » : une personne physique ou morale constituée et reconnue comme telle en vertu du droit national de son lieu de constitution, et ayant, en son nom propre, la capacité d’être titulaire de droits et d’obligations ; 38° « fournisseur de services gérés » : une entité qui fournit des services liés à l’installation, à la gestion, à l’exploitation ou à l’entretien de produits, de réseaux, d’infrastructures ou d’applications TIC ou d’autres réseaux et systèmes d’information, par l’intermédiaire d’une assistance ou d’une administration active, soit dans les locaux des clients, soit à distance ; 39° « fournisseur de services de sécurité gérés » : un fournisseur de services gérés qui effectue ou fournit une assistance pour des activités liées à la gestion des risques en matière de cybersécurité ; 40° « organisme de recherche » : une entité dont l’objectif premier est de mener des activités de recherche appliquée ou de développement expérimental en vue d’exploiter les résultats de cette recherche à des fins commerciales, à l’exclusion des établissements d’enseignement ; 7 41° « CIRCL » : Computer Incident Response Center Luxembourg, opéré par le groupement d’intérêt économique Luxembourg House of Cybersecurity ; 42° « données de communications électroniques » : le contenu et les métadonnées de communications électroniques ; 43° « contenu de communications électroniques » : le contenu échangé au moyen de services de communications électroniques, notamment sous forme de texte, de voix, de documents vidéo, d'images et de son ; 44° « métadonnées de communications électroniques » : les données traitées dans un réseau de communications électroniques aux fins de la transmission, la distribution ou l'échange de contenu de communications électroniques, y compris les données permettant de retracer une communication et d'en déterminer l'origine et la destination ainsi que les données relatives à la localisation de l'appareil produites dans le cadre de la fourniture de services de communications électroniques, et la date, l'heure, la durée et le type de communication. Chapitre 2 – Autorités en matière de cybersécurité Art. 3. L’Institut Luxembourgeois de Régulation est l’autorité compétente chargée de la cybersécurité dans le cadre de la présente loi et des tâches de supervision et d’exécution visées au chapitre 6 pour les secteurs visés aux annexes I et II et les entités critiques telles que visées par la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil. Par dérogation à l’alinéa 1er, la Commission de surveillance du secteur financier est l’autorité compétente chargée de la cybersécurité dans le cadre de la présente loi et des tâches de supervision et d’exécution visées au chapitre 6 pour le secteur bancaire et le secteur des infrastructures des marchés financiers, figurant aux points 3° et 4° du tableau de l’annexe I. Elle est par ailleurs l’autorité compétente pour le secteur des infrastructures numériques et le secteur de la gestion des services TIC, figurant aux points 8° et 9° du tableau de l’annexe I, en ce qui concerne les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier. L’obligation au secret professionnel prévue par l’article 16 de la loi modifiée du 23 décembre 1998 portant création d’une Commission de surveillance du secteur financier et l’article 15 de la loi modifiée du 30 mai 2005 portant : 1) organisation de l’Institut Luxembourgeois de Régulation ; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’État ne fait pas obstacle à l’échange d’informations confidentielles entre les autorités compétentes, les CSIRT et le point de contact unique tels que visés aux articles 5 et 7, dans le cadre et aux seules fins de la présente loi et dans les mesures prises pour son exécution. Art. 4. L’Institut Luxembourgeois de Régulation bénéficie d’une contribution financière à charge du budget de l’État afin de couvrir l’intégralité des frais de fonctionnement qui résultent de l’exercice des missions prévues par la présente loi. Art. 5. Le Haut-Commissariat à la Protection nationale constitue le point de contact unique chargé d’exercer une fonction de liaison afin d’assurer la coopération transfrontière des 8 autorités compétentes avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l’Agence de l’Union européenne pour la cybersécurité, ci-après « ENISA », ainsi qu’à garantir la coopération intersectorielle avec les autres autorités compétentes nationales. Art. 6. Le Haut-Commissariat à la Protection nationale est l’autorité compétente chargée de la gestion des incidents de cybersécurité majeurs et des crises, ci-après « autorité de gestion des crises cyber » et représente le Grand-Duché de Luxembourg au sein du réseau européen pour la préparation et la gestion des crises cyber, dénommé « EU-CyCLONe », institué par l’article 16 de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2). Art. 7. (1) Le Haut-Commissariat à la Protection nationale, dans sa fonction de GOVCERT.LU, constitue le centre de réponse aux incidents de sécurité informatique, ci-après « CSIRT », pour les administrations et services de l’État, les établissements publics et les entités critiques en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil. Le CIRCL constitue le CSIRT pour tous les autres cas, pour lesquels le Haut-Commissariat à la Protection nationale, dans sa fonction de GOVCERT.LU, n’est pas compétent. (2) Les CSIRT couvrent au moins les secteurs, les sous-secteurs et les types d’entités visés aux annexes I et II, et sont chargés de la gestion des incidents selon un processus bien défini. (3) Les CSIRT coopèrent et, le cas échéant, échangent des informations pertinentes conformément à l’article 19 avec des communautés sectorielles ou intersectorielles d’entités essentielles et importantes. Art. 8. (1) Les CSIRT assument les tâches suivantes : 1° surveiller et analyser les cybermenaces, les vulnérabilités et les incidents et, sur demande, apporter une assistance aux entités essentielles et importantes concernées pour surveiller en temps réel ou quasi réel leurs réseaux et systèmes d’information ; 2° activer le mécanisme d’alerte précoce, la diffusion de messages d’alerte, les annonces et la diffusion d’informations sur les cybermenaces, les vulnérabilités et les incidents auprès des entités essentielles et importantes concernées ainsi qu’auprès des autorités compétentes et des autres parties prenantes concernées, si possible en temps quasi réel ; 3° réagir aux incidents et apporter une assistance, à leur demande, aux entités essentielles et importantes concernées ; 4° rassembler et analyser des données de police scientifique, et assurer une analyse dynamique des risques et incidents et une appréciation de la situation en matière de cybersécurité ; 9 5° réaliser, à la demande d’une entité essentielle ou importante, un scan proactif du réseau et des systèmes d’information de l’entité concernée afin de détecter les vulnérabilités susceptibles d’avoir un impact important ; 6° participer au réseau des CSIRT, tel que visé par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) et apporter une assistance mutuelle en fonction de leurs capacités et de leurs compétences aux autres membres du réseau des CSIRT à leur demande ; 7° le cas échéant, agir en qualité de coordinateur aux fins du processus de divulgation coordonnée des vulnérabilités en vertu de l’article 9, paragraphe 1er ; 8° contribuer au déploiement d’outils de partage d’informations sécurisés conformément à l’article 10, paragraphe 3, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2). Les CSIRT peuvent procéder à un scan proactif et non intrusif des réseaux et systèmes d’information accessibles au public d’entités essentielles et importantes. Ce scan est effectué dans le but de détecter les réseaux et systèmes d’information vulnérables ou configurés de façon peu sûre et d’informer les entités concernées. Ce scan n’a pas d’effet négatif sur le fonctionnement des services des entités. Lorsqu’ils exécutent les tâches visées à l’alinéa 1er, les CSIRT peuvent donner la priorité à certaines tâches sur la base d’une approche basée sur les risques. (2) Les CSIRT établissent des relations de coopération avec les acteurs concernés du secteur privé, en vue d’atteindre les objectifs de la présente loi. Art. 9. Le CIRCL est le coordinateur aux fins de la divulgation coordonnée des vulnérabilités. Il fait office d’intermédiaire de confiance en facilitant, si nécessaire, les interactions entre la personne physique ou morale qui signale une vulnérabilité et le fabricant ou le fournisseur des produits TIC ou des services TIC potentiellement vulnérables, à la demande de l’une des deux parties. Les tâches du coordinateur consistent : 1° à identifier et contacter les entités concernées ; 2° à apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité ; et 3° à négocier des délais de divulgation et gérer les vulnérabilités qui touchent plusieurs entités. Les personnes physiques ou morales sont en mesure de signaler une vulnérabilité, de manière anonyme lorsqu’elles le demandent, au CIRCL. Le CIRCL veille à ce que des mesures de suivi diligentes soient prises en ce qui concerne la vulnérabilité signalée et veille à l’anonymat de la personne physique ou morale signalant la vulnérabilité. Lorsque la vulnérabilité signalée est 10 susceptible d’avoir un impact important sur des entités dans plusieurs États membres, le CIRCL coopère, le cas échéant, avec les autres CSIRT désignés comme coordinateurs au sein du réseau des CSIRT tel que visé par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2). Art. 10. (1) Les autorités compétentes, le point de contact unique et les CSIRT coopèrent les uns avec les autres afin de respecter les obligations énoncées dans la présente loi. (2) Les informations et notifications relatives aux incidents importants et aux incidents, aux cybermenaces et aux incidents évités notifiées à l’autorité compétente en application des articles 14 et 20, sont transmises au CSIRT concerné et au point de contact unique. (3) Afin de veiller à ce que les tâches et obligations des autorités compétentes, du point de contact unique et des CSIRT soient exécutées efficacement, ces organes et les autorités répressives, les autorités chargées de la protection des données, les autorités nationales en vertu des règlements (CE) n° 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n° 2320/2002, tel que modifié, et (UE) 2018/1139 du Parlement européen et du Conseil du 4 juillet 2018 concernant des règles communes dans le domaine de l'aviation civile et instituant une Agence de l'Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) n° 2111/2005, (CE) n° 1008/2008, (UE) n° 996/2010, (UE) n° 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) n° 552/2004 et (CE) n° 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) n° 3922/91 du Conseil, tel que modifié, les organes de contrôle au titre du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, les autorités compétentes en vertu du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, les autorités de régulation nationales en vertu de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques, les autorités compétentes en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil, ainsi que les autorités compétentes en vertu d’autres actes juridiques sectoriels de l’Union européenne coopèrent de façon appropriée. (4) Les autorités compétentes en vertu de la présente loi et les autorités compétentes en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil coopèrent et échangent régulièrement des informations sur le recensement des entités critiques, les risques, les cybermenaces et les incidents, ainsi que sur les risques, menaces et incidents non cyber qui touchent les entités essentielles recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil, et sur les mesures prises pour faire face à ces risques, menaces et incidents. Les autorités compétentes en vertu de la présente loi et les autorités compétentes en vertu du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les 11 services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 et de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques échangent régulièrement des informations pertinentes, y compris en ce qui concerne les incidents et les cybermenaces concernés. (5) L’obligation au secret professionnel prévue par l’article 16 de la loi modifiée du 23 décembre 1998 portant création d’une commission de surveillance du secteur financier et l’article 15 de la loi modifiée du 30 mai 2005 portant : 1) organisation de l’Institut Luxembourgeois de Régulation ; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’État ne fait pas obstacle aux différents types de coopération du présent article dans le cadre et aux seules fins de la présente loi et des mesures prises pour son exécution. Chapitre 3 – Entités essentielles et importantes Art. 11. (1) Les entités suivantes sont considérées comme étant des entités essentielles : 1° les entités d’un type visé à l’annexe I qui dépassent les plafonds applicables aux moyennes entreprises prévus à l’article 2, paragraphe 1er, de l’annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises ; 2° les prestataires de services de confiance qualifiés et les registres de noms de domaine de premier niveau ainsi que les fournisseurs de services DNS, quelle que soit leur taille ; 3° les fournisseurs de réseaux publics de communications électroniques publics ou de services de communications électroniques accessibles au public qui constituent des moyennes entreprises en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises ; 4° les entités de l’administration publique visées à l’article 1er, paragraphe 2, point 6° ; 5° toute autre entité d’un type visé à l’annexe I ou II qui est identifiée par l’autorité compétente en tant qu’entité essentielle en vertu de l’article 1er, paragraphe 2, points 2° à 5° ; 6° les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil, visées à l’article 1er, paragraphe 3 ; 7° les entités que les autorités compétentes ont identifiées avant l’entrée en vigueur de la présente loi comme des opérateurs de services essentiels conformément à la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé 12 commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant 1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et 2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale. (2) Aux fins de la présente loi, les entités d’un type visé à l’annexe I ou II qui ne constituent pas des entités essentielles en vertu du paragraphe 1er du présent article sont considérées comme des entités importantes. Celles-ci incluent les entités identifiées par l’autorité compétente en tant qu’entités importantes en vertu de l’article 1er, paragraphe 2, points 2° à 5°. (3) Les autorités compétentes établissent une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les autorités compétentes réexaminent cette liste et, le cas échéant, la mettent à jour régulièrement et au moins tous les deux ans par la suite. Ces listes sont transmises par l’autorité compétente au CSIRT compétent et au point de contact unique. (4) Aux fins de l’établissement de la liste visée au paragraphe 3, les entités visées audit paragraphe communiquent aux autorités compétentes au moins les informations suivantes : 1° le nom de l’entité ; 2° l’adresse et les coordonnées actualisées, y compris les adresses électroniques, les plages d’IP et les numéros de téléphone ; 3° le cas échéant, le secteur et le sous-secteur concernés visés à l’annexe I ou II ; 4° le cas échéant, une liste des États membres dans lesquels elles fournissent des services relevant du champ d’application de la présente loi ; 5° la taille de l’entité et, le cas échéant, celle du groupe d’entités auquel l’entité concernée appartient. Les entités visées au paragraphe 3 notifient sans tarder toute modification des informations qu’elles ont communiquées conformément à l’alinéa 1er du présent paragraphe et, en tout état de cause, dans un délai de deux semaines à compter de la date de la modification. Les autorités compétentes mettent en place un mécanisme national par lequel les entités visées au paragraphe 3 sont dans l'obligation de s'enregistrer elles-mêmes. L’autorité compétente concernée confirme à ces entités concernée leur désignation en tant qu’entité essentielle ou importante. Art. 12. (1) Les entités essentielles et importantes prennent les mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information que ces entités utilisent dans le cadre de leurs activités ou de la fourniture de leurs services, ainsi que pour éliminer ou réduire les conséquences que les incidents ont sur les destinataires de leurs services et sur d’autres services. Les mesures visées au à l’alinéa 1er garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, en tenant compte de l’état des connaissances 13 et, s’il y a lieu, des normes européennes et internationales applicables, ainsi que du coût de mise en œuvre. Lors de l’évaluation de la proportionnalité de ces mesures, il convient de tenir dûment compte du degré d’exposition de l’entité aux risques, de la taille de l’entité et de la probabilité de survenance d’incidents et de leur gravité, y compris leurs conséquences sociétales et économiques. Afin d’identifier les risques, les entités essentielles et importantes utilisent un cadre d’analyse de risques approprié pouvant être précisé par l’autorité compétente concernée par voie de règlement ou de circulaire. (2) Les mesures visées au paragraphe 1er sont fondées sur une approche « tous risques » qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre les incidents, et elles comprennent au moins : 1° les politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ; 2° la gestion des incidents ; 3° la continuité des activités, par exemple la gestion des sauvegardes et la reprise des activités, et la gestion des crises ; 4° la sécurité de la chaîne d’approvisionnement, y compris les aspects liés à la sécurité concernant les relations entre chaque entité et ses fournisseurs ou prestataires de services directs ; 5° la sécurité de l’acquisition, du développement et de la maintenance des réseaux et des systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ; 6° des politiques et des procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ; 7° les pratiques de base en matière de cyberhygiène et la formation à la cybersécurité ; 8° des politiques et des procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ; 9° la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs ; 10° l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins. (3) Les mesures prises par les entités essentielles sur base des paragraphes 1er et 2 sont notifiées à l’autorité compétente. Les modalités de cette notification, le format et le délai, sont déterminées par l’autorité compétente concernée par voie de règlement ou de circulaire. (4) Les autorités compétentes veillent à ce que, lorsqu’elles examinent lesquelles des mesures visées au paragraphe 2, point 4°, du présent article sont appropriées, les entités tiennent compte des vulnérabilités propres à chaque fournisseur et prestataire de services direct et de la qualité 14 globale des produits et des pratiques de cybersécurité de leurs fournisseurs et prestataires de services, y compris de leurs procédures de développement sécurisé. Les autorités compétentes veillent également à ce que, lorsqu’elles examinent lesquelles des mesures visées audit point sont appropriées, les entités soient tenues de prendre en compte les résultats des évaluations coordonnées des risques pour la sécurité des chaînes d’approvisionnement critiques, effectuées conformément à l’article 22, paragraphe 1er, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2). (5) Les autorités compétentes veillent à ce que, lorsqu’une entité constate qu’elle ne se conforme pas aux mesures prévues au paragraphe 2, elle prenne, sans retard injustifié, toutes les mesures correctives nécessaires appropriées et proportionnées. Art. 13. (1) Les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 12, supervisent leur mise en œuvre et peuvent être tenus responsables de la violation dudit article par ces entités. (2) Les membres des organes de direction des entités essentielles et importantes sont tenus de suivre régulièrement une formation et les entités essentielles et importantes offrent régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité. Art. 14. (1) Les entités essentielles et importantes notifient, sans retard injustifié, à l’autorité compétente concernée, conformément au paragraphe 4, tout incident ayant un impact important sur leur fourniture des services visés au paragraphe 3, ci-après « incident important ». Le cas échéant, les entités concernées notifient, sans retard injustifié, aux destinataires de leurs services les incidents importants susceptibles de nuire à la fourniture de ces services. Ces entités signalent, entre autres, toute information permettant à l’autorité compétente de déterminer si l’incident a un impact transfrontière. Le simple fait de notifier un incident n’accroît pas la responsabilité de l’entité qui est à l’origine de la notification. L’autorité compétente transmet la notification au CSIRT concerné et au point de contact unique dès qu’elle la reçoit. (2) Le cas échéant, les entités essentielles et importantes communiquent, sans retard injustifié, aux destinataires de leurs services qui sont potentiellement affectés par une cybermenace importante toutes les mesures ou corrections que ces destinataires peuvent appliquer en réponse à cette menace. Le cas échéant, les entités informent également ces destinataires de la cybermenace importante elle-même. (3) Un incident est considéré comme important si : 1° il a causé ou est susceptible de causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ; 15 2° il a affecté ou est susceptible d’affecter d’autres personnes physiques ou morales en causant des dommages matériels, corporels ou moraux considérables. L’autorité compétente concernée peut préciser, par voie de règlement ou de circulaire, les paramètres et les modalités des notifications des incidents ayant un impact important sur leur fourniture des services. (4) Aux fins de la notification visée au paragraphe 1er, les entités concernées soumettent à l’autorité compétente : 1° sans retard injustifié et en tout état de cause dans les vingt-quatre heures après avoir eu connaissance de l’incident important, une notification préliminaire qui, le cas échéant, indique si l’on suspecte l’incident important d’avoir été causé par des actes illicites ou malveillants ou s’il pourrait avoir un impact transfrontière ; 2° sans retard injustifié et en tout état de cause dans les soixante-douze heures après avoir eu connaissance de l’incident important, une notification d’incident qui, le cas échéant, met à jour les informations visées au point 1° et fournit une évaluation initiale de l’incident important, y compris de sa gravité et de son impact, ainsi que des indicateurs de compromission, lorsqu’ils sont disponibles ; 3° à la demande d’un CSIRT ou, selon le cas, de l’autorité compétente, un rapport intermédiaire sur les mises à jour pertinentes de la situation ; 4° un rapport final au plus tard un mois après la présentation de la notification d’incident visée au point 2°, comprenant les éléments suivants : a) une description détaillée de l’incident, y compris de sa gravité et de son impact ; b) le type de menace ou la cause profonde qui a probablement déclenché l’incident ; c) les mesures d’atténuation appliquées et en cours ; d) le cas échéant, l’impact transfrontière de l’incident ; 5° en cas d’incident en cours au moment de la présentation du rapport final visé au point 4°, les entités concernées fournissent à ce moment-là un rapport d’avancement puis un rapport final dans un délai d’un mois à compter du traitement de l’incident. Par dérogation à l’alinéa 1er, point 2°, un prestataire de services de confiance notifie à l’autorité compétente les incidents importants qui ont un impact sur la fourniture de ses services de confiance, sans retard injustifié et en tout état de cause dans les vingt-quatre heures après avoir eu connaissance de l’incident important. (5) L’autorité compétente fournit, sans retard injustifié et si possible dans les vingt-quatre heures suivant la réception de la notification préliminaire visée au paragraphe 4, point 1°, une réponse à l’entité émettrice de la notification, y compris un retour d’information initial sur l’incident important et, à la demande de l’entité, des orientations ou des conseils opérationnels sur la mise en œuvre d’éventuelles mesures d’atténuation. L’orientation est émise par l’autorité compétente en coopération avec le CSIRT concerné. Le CSIRT fournit un soutien technique 16 supplémentaire si l’entité concernée le demande. Lorsqu’il y a lieu de suspecter que l’incident est de nature criminelle, le CSIRT ou l’autorité compétente fournit également des orientations sur les modalités de notification de l’incident important aux autorités répressives. (6) Lorsque c’est approprié, et notamment si l’incident important concerne deux États membres ou plus, le point de contact unique informe, sans retard injustifié, les autres États membres touchés et l’ENISA de l’incident important. Sont alors partagées des informations du type de celles reçues conformément au paragraphe 4. Ce faisant, le point de contact unique doit préserver la sécurité et les intérêts commerciaux de l’entité ainsi que la confidentialité des informations communiquées. (7) Lorsque la sensibilisation du public est nécessaire pour prévenir un incident important ou pour faire face à un incident important en cours, ou lorsque la divulgation de l’incident important est par ailleurs dans l’intérêt public, l’autorité compétente et, le cas échéant, les CSIRT ou les autorités compétentes des autres États membres concernés peuvent, après avoir consulté l’entité concernée, informer le public de l’incident important ou exiger de l’entité qu’elle le fasse. (8) À la demande de l’autorité compétente, le point de contact unique transmet les notifications reçues en vertu du paragraphe 1er aux points de contact uniques des autres États membres touchés. (9) Le point de contact unique soumet tous les trois mois à l’ENISA un rapport de synthèse comprenant des données anonymisées et agrégées sur les incidents importants, les incidents, les cybermenaces et les incidents évités notifiés conformément au paragraphe 1er et à l’article 20. (10) L’autorité compétente fournit aux autorités compétentes en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil des informations sur les incidents importants, les incidents, les cybermenaces et les incidents évités notifiés conformément au paragraphe 1er et à l’article 20 par les entités identifiées comme des entités critiques en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil. Art. 15. Afin de démontrer la conformité à certaines exigences visées à l’article 12, l’autorité compétente peut prescrire aux entités essentielles et importantes d’utiliser des produits TIC, services TIC et processus TIC particuliers qui, mis au point par l’entité essentielle ou importante ou acquis auprès de tiers, sont certifiés dans le cadre de schémas européens de certification de cybersécurité adoptés conformément à l’article 49 du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité), tel que modifié. En outre, l’autorité compétente encourage les entités essentielles et importantes à utiliser des services de confiance qualifiés. 17 Chapitre 4 – Compétence et enregistrement Art. 16. (1) Les entités relevant du champ d’application de la présente loi sont considérées comme relevant de la compétence du Grand-Duché de Luxembourg lorsqu’elles y sont établies, à l’exception des cas suivants : 1° les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services ; 2° les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux, qui sont considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union européenne en application du paragraphe 2 ; 3° les entités de l’administration publique, qui sont considérées comme relevant de la compétence de l’État membre qui les a établies. (2) Aux fins de la présente loi, une entité visée au paragraphe 1er, point 2°, est considérée avoir son établissement principal dans l’Union européenne dans l’État membre où sont principalement prises les décisions relatives aux mesures de gestion des risques en matière de cybersécurité. Si un tel État membre ne peut être déterminé ou si ces décisions ne sont pas prises dans l’Union européenne, l’établissement principal est considéré comme se trouvant dans l’État membre où les opérations de cybersécurité sont effectuées. Si un tel État membre ne peut être déterminé, l’établissement principal est considéré comme se trouvant dans l’État membre où l’entité concernée possède l’établissement comptant le plus grand nombre de salariés dans l’Union européenne. (3) Si une entité visée au paragraphe 1er, point 2°, n’est pas établie dans l’Union européenne mais offre des services sur le territoire du Grand-Duché de Luxembourg, elle désigne un représentant dans l’Union européenne. Le représentant est établi dans l’un des États membres dans lesquels les services sont fournis. Une telle entité est considérée comme relevant de la compétence du Grand-Duché de Luxembourg si le représentant y est établi. En l’absence d’un représentant dans l’Union européenne désigné en vertu du présent paragraphe et si l’entité fournit des services au Luxembourg, l’État luxembourgeois peut intenter une action en justice contre l’entité pour violation de la présente loi. (4) La désignation d’un représentant par une entité visée au paragraphe 1er, point 2°, est sans préjudice d’actions en justice qui pourraient être intentées contre l’entité elle-même. (5) L’autorité compétente qui a reçu une demande d’assistance mutuelle en lien avec une entité visée au paragraphe 1er, point 2°, peut, dans les limites de cette demande, prendre des mesures de supervision et d’exécution appropriées à l’égard de l’entité concernée qui fournit des 18 services ou qui dispose d’un réseau et d’un système d’information sur le territoire luxembourgeois. Art. 17. (1) Les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne ou de plateformes de services de réseaux sociaux soumettent les informations suivantes à l’autorité compétente au plus tard le 17 janvier 2025 : 1° le nom de l’entité ; 2° les secteur, sous-secteur et type d’entité concernés, visés à l’annexe I ou II, le cas échéant ; 3° l’adresse de l’établissement principal de l’entité et de ses autres établissements légaux dans l’Union européenne ou, si elle n’est pas établie dans l’Union européenne, de son représentant désigné conformément à l’article 16, paragraphe 3 ; 4° les coordonnées actualisées, y compris les adresses de courrier électronique et les numéros de téléphone de l’entité et, le cas échéant, de son représentant désigné conformément à l’article 16, paragraphe 3 ; 5° les États membres dans lesquels l’entité fournit des services ; et 6° les plages d’IP de l’entité. Le point de contact unique transmet ces informations, à l’exception de celles visées au paragraphe 1er, point 6°, à l’ENISA, afin de permettre à l’ENISA de mettre en place le registre visé à l’article 27 de la directive 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2). (2) Les entités visées au paragraphe 1er notifient à l’autorité compétente toute modification des informations qu’elles ont communiquées en vertu dudit paragraphe sans tarder et, en tout état de cause, dans un délai de trois mois à compter de la date de la modification. Art. 18. (1) Afin de contribuer à la sécurité, à la stabilité et à la résilience du DNS, les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine collectent les données d’enregistrement de noms de domaine et les maintiennent exactes et complètes au sein d’une base de données spécialisée avec la diligence requise par la législation sur la protection des données à caractère personnel. (2) Aux fins du paragraphe 1er, la base des données d’enregistrement des noms de domaine contient les informations nécessaires pour identifier et contacter les titulaires des noms de domaine et les points de contact qui gèrent les noms de domaine relevant des domaines de premier niveau. Ces informations comprennent notamment les éléments suivants : 19 1° le nom de domaine ; 2° la date d’enregistrement ; 3° le nom du titulaire, l’adresse de courrier électronique et le numéro de téléphone permettant de le contacter ; 4° l’adresse de courrier électronique et le numéro de téléphone permettant de contacter le point de contact qui gère le nom de domaine, si ces coordonnées sont différentes de celles du titulaire. ( …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.