📄 Texte de loi
LE GOUVERNEMENT
DU GRAND-DUCHÉ DE LUXEMBOURG
Haut-Commissariat
à la protection nationale
Projet de loi portant transposition de la directive (UE) 2022/2557 du
Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des
entités critiques, et abrogeant la directive 2008/114/CE du Conseil, et
modifiant :
1° la loi modifiée du 25 mars 2015 fixant le régime des traitements et les
conditions et modalités d'avancement des fonctionnaires de l'État;
2° la loi modifiée du 23 juillet 2016 portant création d'un HautCommissariat à la Protection nationale
Texte du projet de loi
Chapitre ler — Définition et champ d'application
Art. ler. (1) La présente loi ne s'applique pas aux questions couvertes par la directive (UE)
2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures
destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union,
modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la
directive (UE) 2016/1148, sans préjudice de l'article 8.
(2) Lorsque des dispositions d'actes juridiques sectoriels de l'Union européenne exigent des
entités critiques qu'elles adoptent des mesures pour renforcer leur résilience, et lorsque ces
exigences ont un effet au moins équivalent aux obligations correspondantes prévues par la
présente loi, les dispositions pertinentes de la présente loi, y compris les dispositions relatives
à la supervision et à l'exécution prévues au chapitre 6, ne s'appliquent pas.
(3) La présente loi est sans préjudice du droit de l'Union européenne relatif à la protection des
données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement
européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard
du traitement des données à caractère personnel et à la libre circulation de ces données, et
abrogeant la directive 95/46/CE et la loi modifiée du 30 mai 2005 relative aux dispositions
spécifiques de protection de la personne à l'égard du traitement des données à caractère
personnel dans le secteur des communications électroniques et portant modification des articles
88-2 et 88-4 du Code d'instruction criminelle.
Art. 2. Pour l'application de la présente loi, on entend par:
10 « entité critique » : une entité publique ou privée qui a été désignée conformément à l'article
7 comme appartenant à l'une des catégories qui figurent dans la troisième colonne du tableau
de l'annexe ;
2° «résilience »: la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y
réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter et à s'en rétablir ;
1
30 « incident » : un événement qui perturbe ou est susceptible de perturber de manière
importante la fourniture d'un service essentiel, y compris lorsqu'il affecte les systèmes
nationaux qui préservent l'état de droit ;
4° «infrastructure critique » : un bien, une installation, un équipement, un réseau ou un
système, ou une partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un
système, qui est nécessaire à la fourniture d'un service essentiel ;
5° «service essentiel »: un service qui est crucial pour le maintien de fonctions sociétales ou
d'activités économiques vitales, de la santé publique et de la sûreté publique, ou de
1' environnement ;
6° «maintien de fonctions sociétales vitales »: la disponibilité de services indispensables à la
sauvegarde des intérêts vitaux ou des besoins essentiels de tout ou partie du pays ou de la
population;
7° «risque » : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme
la combinaison de l'ampleur de cette perte ou de cette perturbation et la probabilité que
l'incident se produise ;
8° «évaluation des risques » : l'ensemble du processus permettant de déterminer la nature et
l'étendue d'un risque en déterminant et en analysant les menaces, les vulnérabilités et les
dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la
perturbation potentielle de la fourniture d'un service essentiel causée par cet incident;
9° «entité de l'administration publique » : toute entité, à l'exclusion de l'organisation
judiciaire, de la Chambre des députés et de la Banque centrale du Luxembourg, qui satisfait
aux critères suivants :
a) elle a été créée pour satisfaire des besoins d'intérêt général et n'a pas de caractère
industriel ou commercial;
b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le
compte d'une autre entité dotée de la personnalité juridique ;
c) elle est financée majoritairement par les autorités de l'État ou d'autres organismes de
droit public de niveau central, ou sa gestion est soumise à un contrôle de la part de ces
autorités ou organismes, ou son organe d'administration, de direction ou de
surveillance est composé, pour plus de la moitié, de membres désignés par les autorités
de l'État ou d'autres organismes de droit public de niveau central;
d) elle a le pouvoir d'adresser à des personnes physiques ou morales des décisions
administratives ou réglementaires affectant leurs droits en matière de mouvements
transfrontières des personnes, des biens, des services ou des capitaux.
Chapitre 2 — Autorités compétentes et point de contact national unique
Art. 3. La Commission de surveillance du secteur financer est l'autorité compétente chargée
de veiller à l'application correcte de la présente loi pour le secteur bancaire et le secteur des
2
infrastructures des marchés financiers, figurant aux points 3 et 4 du tableau de l'annexe, ainsi
que le secteur des infrastructures numériques, figurant au point 8 du tableau de l'annexe, pour
les activités qui tombent sous la surveillance de la Commission de surveillance du secteur
financer.
Le Haut-Commissariat à la Protection nationale est l'autorité compétente chargée de veiller à
l'application correcte de la présente loi pour les autres secteurs visés à l'annexe, ainsi que le
secteur des infrastructures numériques, figurant au point 8 du tableau de l'annexe, pour les
activités qui ne tombent pas sous la surveillance de la Commission de surveillance du secteur
financier.
L'obligation au secret professionnel prévue par l'article 16 de la loi modifiée du 23 décembre
1998 portant création d'une Commission de surveillance du secteur financier ne fait pas
obstacle à l'échange d'informations confidentielles entre les autorités compétentes dans le
cadre et aux seules fins de la présente loi et des mesures prises pour son exécution.
Art. 4. Le Haut-Commissariat à la Protection nationale constitue le point de contact national
unique chargé d'exercer une fonction de liaison afin d'assurer la coopération transfrontière
avec les points de contact uniques des autres États membres et avec le groupe sur la résilience
des entités critiques visé à l'article 19 de la directive (UE) 2022/2557 du Parlement européen
et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la
directive 2008/114/CE du Conseil. En outre, le point de contact national unique exerce une
fonction de liaison avec la Commission européenne et assure la coopération avec les pays tiers.
Chapitre 3 — Cadre national pour la résilience des entités critiques
Art. 5. Le Haut-Commissariat à la Protection nationale élabore, après consultation de la
Commission de surveillance du secteur financier, une stratégie visant à renforcer la résilience
des entités critiques qui définit des objectifs stratégiques et des mesures politiques, en
s'appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires
pertinents existants, en vue d'atteindre et de maintenir un niveau élevé de résilience des entités
critiques et de couvrir au moins les secteurs figurant à l'annexe.
La stratégie contient les éléments suivants :
10 les objectifs stratégiques et les priorités aux fins de renforcer la résilience globale des
entités critiques, compte tenu des dépendances et des interdépendances transfrontières et
transsectorielles ;
2° un cadre de gouvernance permettant d'atteindre les objectifs stratégiques et les priorités,
y compris une description des rôles et des responsabilités des différentes autorités, entités
critiques et autres parties participant à la mise en œuvre de la stratégie ;
30 une description des mesures nécessaires pour renforcer la résilience globale des entités
critiques, y compris une description de l'évaluation des risques visée à l'article 6;
4° une description du processus par lequel les entités critiques sont recensées ;
3
5° une description du processus de soutien aux entités critiques conformément au présent
chapitre, y compris les mesures visant à renforcer la coopération entre le secteur public,
d'une part, et le secteur privé et les entités publiques et privées, d'autre part;
6° une liste des principales autorités et parties prenantes concernées, autres que les entités
critiques, participant à la mise en oeuvre de la stratégie ;
7° un cadre d'action pour la coordination entre les autorités compétentes au sens de la
présente loi et les autorités compétentes en vertu de la directive (UE) 2022/2555 du
Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures
destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de
l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et
abrogeant la directive (UE) 2016/1148 aux fins du partage d'informations sur les risques,
menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et
incidents non liés à la cybersécurité, et de l'exercice des tâches de supervision;
8° une description des mesures déjà en place visant à faciliter la mise en œuvre des
obligations prévues au chapitre 4 par les petites et moyennes entreprises au sens de
l'annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003
concernant la définition des micro, petites et moyennes entreprises recensées en tant
qu'entités critiques.
À la suite d'une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties
prenantes concernées, le Haut-Commissariat à la Protection nationale met à jour la stratégie au
moins tous les quatre ans.
Art. 6. (1) Le Haut-Commissariat à la Protection nationale effectue une évaluation des risques
sur base des services essentiels identifiés par la Commission européenne. Cette évaluation des
risques est utilisée pour recenser les entités critiques conformément à l'article 7 et pour aider
les entités critiques à adopter des mesures en vertu de l'article 12.
(2) Afin de procéder à l'évaluation des risques, le Haut-Commissariat à la Protection nationale
tient compte des éléments suivants :
10 l'analyse des risques qui tient compte des risques naturels et d'origine humaine
pertinents, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des
accidents, des catastrophes naturelles, des urgences de santé publique et des menaces
hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions
terroristes prévues par le Code pénal ;
2° l'évaluation des risques générale effectuée en vertu de l'article 6, paragraphe 1', de la
décision n° 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013
relative au mécanisme de protection civile de l'Union européenne ;
3° d'autres évaluations des risques pertinentes effectuées conformément aux exigences des
actes juridiques sectoriels pertinents de l'Union européenne, y compris le règlement (UE)
2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des
mesures visant à garantir la sécurité de l'approvisionnement en gaz naturel et abrogeant
le règlement (UE) n° 994/2010 et le règlement (UE) 2019/941 du Parlement européen et
du Conseil du 5 juin 2019 sur la préparation aux risques dans le secteur de l'électricité et
4
abrogeant la directive 2005/89/CE, ainsi que la loi modifiée du 19 décembre 2008 relative
à l'eau et la loi du 28 avril 2017 concernant la maîtrise des dangers liés aux accidents
majeurs impliquant des substances dangereuses ;
4° les risques pertinents découlant de la mesure dans laquelle les secteurs figurant à l'annexe
dépendent les uns des autres, y compris de la mesure dans laquelle ils dépendent d'entités
situées dans d'autres États membres et des pays tiers, et l'incidence qu'une perturbation
importante dans un secteur peut avoir sur d'autres secteurs, y compris tout risque
important pour les citoyens et le marché intérieur ;
5° toute information sur les incidents notifiés conformément à l'article 16.
Aux fins du premier alinéa, point 4, le Haut-Commissariat à la Protection nationale coopère
avec les autorités compétentes d'autres États membres en vertu de la directive (UE) 2022/2557
du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques,
et abrogeant la directive 2008/114/CE du Conseil et les autorités compétentes de pays tiers, s'il
y a lieu.
(3) Le Haut-Commissariat à la Protection nationale met à la disposition des entités critiques
recensées conformément à l'article 7, les éléments pertinents des évaluations des risques.
Art. 7. (1) Les autorités compétentes recensent les entités critiques pour les secteurs et soussecteurs figurant à l'annexe.
La désignation d'une entité critique fait l'objet d'un arrêté grand-ducal.
(2) Lorsqu'une autorité compétente recense les entités critiques en vertu du paragraphe 1", elle
tient compte des résultats de l'évaluation des risques effectuée en vertu de l'article 6 et de la
stratégie visée à l'article 5 et applique tous les critères suivants :
1° l'entité fournit un ou plusieurs services essentiels ;
2° l'entité exerce ses activités sur le territoire luxembourgeois et son infrastructure critique
est située sur ledit territoire; et
3° un incident aurait des effets perturbateurs importants, déterminés conformément au
paragraphe 3 du présent article, sur la fourniture par l'entité d'un ou de plusieurs services
essentiels ou sur la fourniture d'autres services essentiels dans les secteurs figurant à
l'annexe qui dépendent dudit ou desdits services essentiels.
L'entité critique est tenue de mettre à la disposition de l'autorité compétente toutes les données
sollicitées aux fins du recensement, de la désignation et de la protection des entités critiques.
(3) L'importance d'un effet perturbateur visé au paragraphe 2, point 3, est déterminée sur base
des critères suivants :
1° le nombre d'utilisateurs tributaires du service essentiel fourni par l'entité concernée ;
2° la mesure dans laquelle les autres secteurs et sous-secteurs figurant à l'annexe dépendent
du service essentiel en question;
5
3° l'impact que des incidents pourraient avoir, du point de vue de l'ampleur et de la durée,
sur les activités économiques et sociétales, l'environnement, la sûreté et la sécurité
publiques, ou la santé de la population;
4° la part de marché de l'entité sur le marché du ou des services essentiels concernés ;
5° la zone géographique susceptible d'être affectée par un incident, y compris toute
incidence transfrontière, compte tenu de la vulnérabilité associée au degré d'isolement
de certains types de zones géographiques ;
6° l'importance que revêt l'entité pour le maintien d'un niveau suffisant de service essentiel,
compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service
essentiel.
(4) Les autorités compétentes dressent une liste des entités critiques recensées et désignées en
vertu du paragraphe 2 et veillent à ce que ces entités critiques reçoivent notification de ce
qu'elles ont été désignées en tant qu'entités critiques dans un délai d'un mois à compter de
cette désignation. Les autorités compétentes informent ces entités critiques des obligations qui
leur incombent en vertu des chapitres 4 et 5 et de la date à partir de laquelle ces obligations
leur sont applicables, sans préjudice de l'article 8. Les autorités compétentes informent les
entités critiques des secteurs figurant aux points 3 et 4 du tableau de l'annexe qu'elles ne sont
soumises à aucune des obligations prévues aux chapitres 4 et 5. De même, les autorités
compétentes informent les entités critiques du secteur figurant au point 8 du tableau de l'annexe
qu'elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5, pour les
activités qui tombent sous la surveillance de la Commission de surveillance du secteur
financier.
Le chapitre 4 s'applique aux entités critiques concernées à l'expiration d'un délai de dix mois
à compter de la date de la notification visée au premier alinéa du présent paragraphe.
(5) L'entité critique, à la suite de la notification visée au paragraphe 4, informe son autorité
compétente lorsqu'elle fournit des services essentiels à ou dans six États membres ou plus. En
pareil cas, l'entité critique informe son autorité compétente au sujet des services essentiels
qu'elle fournit à ou dans ces États membres et au sujet des États membres auxquels ou dans
lesquels elle fournit ces services essentiels. Les dispositions du chapitre 5 s'appliquent.
(6) Les autorités compétentes notifient aux autorités compétentes en vertu de la directive (UE)
2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures
destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union,
modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la
directive (UE) 2016/1148 l'identité des entités critiques qu'ils ont recensées et désignées dans
un délai d'un mois à compter de la désignation. Cette notification précise, le cas échéant, que
les entités critiques concernées sont des entités des secteurs figurant aux points 3 et 4 du tableau
de l'annexe et qu'elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5.
De même, cette notification précise, le cas échéant, que les entités critiques concernées sont
des entités des secteurs figurant au point 8 du tableau de l'annexe et qu'elles ne sont soumises
à aucune des obligations prévues aux chapitres 4 et 5, pour les activités qui tombent sous la
surveillance de la Commission de surveillance du secteur financier.
6
(7) Si nécessaire et en tout état de cause au moins tous les quatre ans, les autorités compétentes
réexaminent et, s'il y a lieu, mettent à jour la liste des entités critiques recensées et désignées
visées au paragraphe 4. Lorsque ces mises à jour entraînent le recensement et la désignation
d'entités critiques supplémentaires, les paragraphes 4 à 6 s'appliquent à ces entités critiques
supplémentaires. En outre, les autorités compétentes notifient en temps utile les entités qui ne
sont plus recensées en tant qu'entités critiques, à la suite d'une telle mise à jour, de ce fait et
du fait qu'elles ne sont plus soumises aux obligations prévues au chapitre 4 à compter de la
date de réception de cette notification.
Art. 8. L'article 10 et les chapitres 4, 5 et 6 ne s'appliquent ni aux entités critiques recensées
dans les secteurs figurant aux points 3 et 4 du tableau de l'annexe, ni aux entités critiques
recensées dans le secteur figurant au point 8 du tableau de l'annexe, pour les activités qui
tombent sous la surveillance de la Commission de surveillance du secteur financier.
Art. 9. (1) Les autorités compétentes aident les entités critiques à renforcer leur résilience.
(2) Les autorités compétentes coopèrent et échangent des informations et des bonnes pratiques
avec les entités critiques des secteurs figurant à l'annexe.
Art. 10. Chaque fois que cela est approprié, les autorités compétentes se consultent avec les
autorités compétentes des autres États membres au sujet des entités critiques aux fins d'assurer
l'application cohérente de la présente loi. Ces consultations ont lieu en particulier au sujet des
entités critiques qui :
10 utilisent des infrastructures critiques qui sont physiquement connectées entre deux États
membres ou plus;
2° font partie de structures d'entreprise qui sont connectées ou liées à des entités critiques
dans d'autres États membres ;
3° ont été recensées en tant qu'entités critiques dans un État membre et fournissent des
services essentiels à ou dans d'autres États membres.
Chapitre 4 — Résilience des entités critiques
Art. 11. (1) Sans préjudice de l'article 7, paragraphe 4, deuxième alinéa, les entités critiques
procèdent à une évaluation des risques dans un délai de neuf mois suivant la réception de la
notification visée à l'article 7, paragraphe 4, selon les besoins par la suite et au moins tous les
quatre ans, sur la base de l'évaluation des risques visée à l'article 6 et d'autres sources
d'informations pertinentes, afin d'évaluer tous les risques pertinents qui pourraient perturber
la fourniture de leurs services essentiels (ci-après dénommée « évaluation des risques d'entité
critique »).
(2) Les évaluations des risques d'entités critiques rendent compte de tous les risques naturels
et d'origine humaine pertinents, susceptibles d'entraîner un incident, y compris ceux qui
revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles,
des urgences de santé publique et des menaces hybrides et autres menaces antagonistes,
lesquelles comprennent les infractions terroristes prévues par le Code pénal. Une évaluation
des risques d'entité critique tient compte de la mesure dans laquelle d'autres secteurs figurant
7
à l'annexe dépendent du service essentiel fourni par l'entité critique et de la mesure dans
laquelle cette entité critique dépend des services essentiels fournis par d'autres entités de ces
autres secteurs, y compris s'il y a lieu, dans les États membres voisins et les pays tiers.
Lorsqu'une entité critique a réalisé d'autres évaluations des risques ou établi des documents en
vertu d'obligations prévues dans d'autres actes juridiques qui sont pertinents pour son
évaluation des risques d'entité critique, elle peut utiliser ces évaluations et documents pour
satisfaire aux exigences énoncées dans le présent article. Dans l'exercice de ses fonctions de
supervision, l'autorité compétente peut déclarer qu'une évaluation des risques existante
réalisée par une entité critique qui porte sur les risques et le degré de dépendance visés au
premier alinéa du présent paragraphe respecte, en tout ou en partie, les obligations prévues par
le présent article.
Art. 12. (1) Les entités critiques prennent des mesures techniques, des mesures de sécurité et
des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, sur
la base des informations pertinentes fournies par les autorités compétentes concernant
l'évaluation des risques visée à l'article 6 et les résultats de l'évaluation des risques d'entité
critique, y compris des mesures nécessaires pour:
10 prévenir la survenance d'incidents, en tenant dûment compte de mesures de réduction
des risques de catastrophe et d'adaptation au changement climatique ;
2° assurer une protection physique adéquate de leurs locaux et infrastructures critiques;
30 réagir et résister aux conséquences des incidents et les atténuer, en prenant dûment en
considération la mise en œuvre de procédures et protocoles de gestion des risques et des
crises et de procédures d'alerte ;
4° se rétablir d'incidents, en prenant dûment en considération des mesures assurant la
continuité des activités et la détermination d'autres chaînes d'approvisionnement, afin de
reprendre la fourniture du service essentiel ;
5° assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en
considération des mesures telles que la définition des catégories de personnel qui
exercent des fonctions critiques, l'établissement de droits d'accès aux locaux, aux
infrastructures critiques et aux informations sensibles, la mise en place de procédures de
vérification des antécédents conformément aux articles 13 à 15, la désignation des
catégories de personnes tenues de faire l'objet de telles vérifications des antécédents et
la définition d'exigences et de qualifications appropriées en matière de formation;
6° sensibiliser le personnel concerné aux mesures visées aux points 1 à 5, en tenant dûment
compte des séances de formation, du matériel d'information et des exercices.
Aux fins du premier alinéa, point 5, les entités critiques tiennent compte du personnel des
prestataires de services extérieurs lorsqu'ils définissent les catégories de personnel qui exercent
des fonctions critiques.
(2) Les entités critiques mettent en place et appliquent un plan de résilience ou un ou plusieurs
documents équivalents, qui décrivent les mesures prises en application du paragraphe 1". Dans
l'exercice de ses fonctions de supervision, l'autorité compétente peut déclarer que des mesures
8
existantes de renforcement de la résilience prises par une entité critique qui portent, de manière
appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures
organisationnelles visées au paragraphe 1" respectent, en tout ou en partie, les obligations
prévues par le présent article.
(3) Chaque entité critique désigne un agent de liaison ou une personne ayant une fonction
équivalente en tant que point de contact avec les autorités compétentes.
Art. 13. (1) La Police grand-ducale est chargée de procéder à des vérifications des antécédents
et en est le responsable du traitement tel que défini par le règlement (UE) 2016/679 du
Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes
physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de
ces données, et abrogeant la directive 95/46/CE. Elle procède, sur demande des entités critiques
et dans le seul but d'évaluer un risque potentiel pour la sécurité de l'entité concernée, à des
vérifications des antécédents des personnes :
10 qui occupent des fonctions sensibles au sein de l'entité critique ou au bénéfice de celleci, notamment en ce qui concerne la résilience de l'entité critique;
2° qui occupent la fonction de responsable du système informatique ou du système de
contrôle de l'entité critique;
30 dont le recrutement est envisagé à des postes répondant aux critères énoncés aux points
1 à2.
Préalablement à l'introduction de la demande visée au paragraphe 1er, les catégories de
personnes tenues de faire l'objet d'une vérification des antécédents désignées dans le cadre des
mesures prévues à l'article 12, feront l'objet d'un avis favorable par l'autorité compétente. Une
copie de cet avis sera transmise à la Police grand-ducale.
(2) Cette demande contient les éléments suivants :
1° l'identité de la personne visée au paragraphe 1" : noms et prénoms, date et lieu de
naissance, résidence, nationalité, numéro d'identification national et numéro de la pièce
d'identité ainsi qu'une photographie récente ;
2° la nature du contrat de travail ou de la relation juridique liant la personne visée au
paragraphe 1el. à l'entité critique;
3° la déclaration écrite ou électronique de la personne visée au paragraphe 1", contenant
l'autorisation de procéder à une vérification des antécédents et de demander toute
information relative à la demande disponible et directement accessible aux autorités
compétentes nationales, ou tout document équivalent auprès des autorités des pays de
résidence des cinq dernières années ou dont il a la nationalité ;
40 une liste des lieux de résidence des cinq dernières années et un certificat de résidence
datant de moins de trois mois ;
50 un extrait du casier judiciaire des pays énoncés au point 3, à l'exception du Luxembourg,
datant de moins de trois mois ;
9
6° l'accord de la personne visée au paragraphe 1", que le bulletin N° 2 du casier judiciaire
puisse être délivré directement à la Police grand-ducale ;
7° la signature de la personne visée au paragraphe 1" ;
8° le cachet et la signature de l'entité dont relève la personne visée au paragraphe 1",
précédés d'une attestation de ladite entité certifiant le bien-fondé et les motifs de la
demande ;
9° une documentation concernant les emplois, les études et les interruptions au cours des
cinq dernières années ;
10° une photocopie de la carte d'identité ou du passeport en cours de validité ;
11° un questionnaire biographique dûment rempli.
La Police grand-ducale procède à la vérification des antécédents sur une période de cinq ans
précédant la demande. Lorsque la personne visée au paragraphe 1" est âgée de moins de vingttrois ans au moment de l'introduction de la demande, la Police est autorisée à consulter le
registre spécial prévu par l'article 15 de la loi modifiée du 10 août 1992 relative à la protection
de la jeunesse.
Toute demande incomplète est retournée à l'entité critique requérante et non traitée.
(3) Au terme de la vérification, la Police grand-ducale émet, en application de l'article 14,
paragraphe 3, un avis qu'elle transmet à l'entité critique requérante. La Police grand-ducale ne
communique pas à l'entité requérante les informations personnelles qu'elle a recueillies dans
le cadre de la vérification des antécédents.
(4) Les vérifications des antécédents ont une durée de validité de 5 ans. Une demande de
renouvellement pour une vérification des antécédents est à introduire au plus tôt six mois et au
plus tard quatre mois avant la fin de validité de la vérification des antécédents actuelle.
La décision de renouvellement de la vérification des antécédents prend effet à la fin de validité
de la décision antérieure.
Art. 14. (1) Dans le cadre de l'établissement de l'identité de la personne visée à l'article 13,
paragraphe 1", la Police grand-ducale consulte les autorités policières étrangères. Si la
personne visée à l'article 13, paragraphe 1", possède la nationalité d'un pays étranger ou réside
dans un pays étranger et sous condition de disposer de l'accord écrit ou électronique de cette
personne, la Police grand-ducale peut adresser une demande motivée au procureur général
d'État en vue de l'obtention d'un extrait du casier judiciaire de l'autorité compétente de l'État
membre dont la personne a la nationalité ou de l'autorité compétente de l'État membre dans
lequel la personne a résidé au cours des cinq dernières années.
(2) La Police grand-ducale peut également consulter tout employeur ou tout établissement
d'éducation antérieur ou actuel afin de vérifier l'authenticité des informations fournies.
10
(3) La Police grand-ducale peut demander à la personne visée à l'article 13, paragraphe 1",
toute précision qu'elle juge utile par rapport aux éléments fournis dans sa demande.
(4) La Police grand-ducale indique dans son avis si la personne visée à l'article 13, paragraphe
1er a :
10 commis ou tenté de commettre une des infractions contre la sûreté de l'État visées aux
articles 101 à 135-17 du Code pénal ;
2° commis ou tenté de commettre une des infractions de corruption visées aux articles 246
à 250 du Code pénal ;
3° fait des fausses déclarations en relation avec la demande de vérification des antécédents.
Art. 15. (1) La Police grand-ducale met en place un système informatique centralisé permettant
de faciliter la gestion administrative des demandes de vérification des antécédents.
(2) Les données à caractère personnel en relation avec les vérifications des antécédents sont
conservées pendant une année à partir de la notification de l'avis à l'entité critique.
Art. 16. (1) Les entités critiques notifient sans retard injustifié à l'autorité compétente les
incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture
de services essentiels. Sauf à être dans l'incapacité de le faire pour des raisons opérationnelles,
les entités critiques présentent une première notification au plus tard vingt-quatre heures après
avoir pris connaissance d'un incident, suivie, s'il y a lieu, d'un rapport détaillé au plus tard un
mois après. Afin de déterminer l'importance de la perturbation, les paramètres suivants sont,
en particulier, pris en compte :
10 le nombre et la proportion d'utilisateurs affectés par la perturbation;
2° la durée de la perturbation;
3° la zone géographique concernée par la perturbation, en tenant compte de son éventuel
isolement géographique.
Les paramètres permettant de déterminer l'importance de la perturbation sont précisés par
règlement grand-ducal.
(2) Les notifications visées au paragraphe 1" comprennent toutes les informations disponibles
nécessaires pour permettre à l'autorité compétente de comprendre la nature, la cause et les
conséquences possibles de l'incident, y compris toute information disponible nécessaire pour
déterminer tout impact transfrontière de l'incident. Ces notifications n'ont pas pour effet de
soumettre les entités critiques à une responsabilité accrue.
(3) Sur la base des informations fournies par une entité critique dans une notification visée au
paragraphe ler, l'autorité compétente concernée, par l'intermédiaire du point de contact unique,
informe le point de contact unique des autres États membres affectés lorsque l'incident a ou
pourrait avoir un impact important sur les entités critiques et sur la continuité de la fourniture
de services essentiels à ou dans un ou plusieurs autres États membres.
11
Le point de contact unique qui envoie et reçoit des informations en vertu du premier alinéa
traite ces informations de manière à en respecter la confidentialité et à préserver la sécurité et
les intérêts commerciaux de l'entité critique concernée.
(4) Dès que possible après la réception d'une notification visée au paragraphe 1", l'autorité
compétente concernée fournit à l'entité critique concernée des informations de suivi
pertinentes, y compris des informations qui pourraient aider ladite entité critique à réagir
efficacement à l'incident en question. Les autorités compétentes informent le public lorsqu'ils
estiment qu'il serait dans l'intérêt général de le faire.
Chapitre 5 — Entités critiques d'importance européenne particulière
Art. 17. (1) Une entité est considérée comme une entité critique d'importance européenne
particulière lorsqu'elle:
10 a été désignée en tant qu'entité critique conformément à l'article 7, paragraphe 1" ;
2° fournit les mêmes services essentiels ou des services essentiels similaires à ou dans six
États membres ou plus ; et
3° a fait l'objet d'une notification de la part de la Commission européenne, par
l'intermédiaire de son autorité compétente, qu'elle est considérée comme une entité
critique d'importance européenne particulière.
(2) Les entités critiques d'importance européenne particulière accordent aux missions de
conseil organisées par la Commission européenne afin d'évaluer les mesures mises en place
par ladite entité pour satisfaire aux obligations qui lui incombent en vertu du chapitre 4, l'accès
aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels
nécessaires à l'exécution de la mission de conseil concernée.
Chapitre 6 — Supervision et exécution
Art. 18. (1) Afin d'évaluer le respect des obligations découlant de la présente loi, les autorités
compétentes sont autorisées à:
1° procéder à des inspections sur place de l'infrastructure critique et des locaux utilisés par
l'entité critique pour fournir ses services essentiels afin de s'assurer de la mise en oeuvre
des mesures prises par les entités critiques conformément à l'article 12;
2° procéder à la supervision à distance des mesures prises par les entités critiques
conformément à l'article 12;
3° ordonner un audit visant à contrôler la mise en œuvre effective des mesures prises par les
entités critiques conformément à l'article 12.
Les inspections sur place prévues au point 1 se font entre huit heures et dix-sept heures,
moyennant préavis d'au moins deux semaines, par un agent du groupe de traitement ou du
12
groupe d'indemnité Al ou A2 de l'autorité compétente. Ces inspections pourront se dérouler
en dehors de cette plage horaire, en cas d'accord de l'entité critique.
Les agents visés à l'alinéa 2 signalent leur présence à l'agent de liaison de l'entité critique ou,
le cas échéant, à son remplaçant. Ce dernier peut les accompagner et leur prêter concours, le
cas échéant, pour mener à bien les inspections.
L'agent visé à l'alinéa 2 est tenu de dresser un rapport relatif à l'inspection opérée. Une copie
de ce rapport est transmise à l'agent de liaison de l'entité critique.
(2) Les entités en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil
du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de
cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la
directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 désignées en tant
qu'entités critiques en vertu de la présente loi sont tenues de fournir aux autorités compétentes,
dans un délai raisonnable fixé par celles-ci :
10 les informations nécessaires pour évaluer si les mesures prises par ces entités pour
garantir leur résilience satisfont aux exigences énoncées à l'article 12;
2° la preuve de la mise en oeuvre effective de ces mesures, y compris les résultats d'un audit
effectué par un auditeur indépendant et qualifié sélectionné par ladite entité et effectué à
ses frais.
Ces données comprennent toutes les informations qui sont nécessaires dans le contexte de la
prévention ou de la gestion d'une crise en vertu de la loi modifiée du 23 juillet 2016 portant
création d'un Haut-Commissariat à la Protection nationale.
Lorsqu'elles requièrent ces informations, les autorités compétentes mentionnent la finalité de
la demande et précisent les informations exigées.
(3) Sans préjudice de la possibilité d'imposer des sanctions conformément à l'article 19, les
autorités compétentes peuvent, à la suite des mesures de supervision visées au paragraphe 1"
ou de l'évaluation des informations visées au paragraphe 2, enjoindre aux entités critiques
concernées de prendre les mesures nécessaires et proportionnées pour remédier à toute
violation constatée de la présente loi, dans un délai raisonnable fixé par lesdites autorités, et de
leur fournir des informations sur les mesures prises. Ces injonctions tiennent compte,
notamment, de la gravité de la violation.
(4) Lorsqu'une autorité compétente évalue le respect par une entité critique de ses obligations
en vertu du présent article, ladite autorité compétente en informe les autorités compétentes
nationales en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14
décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de
cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la
directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148. À cette fin, les autorités
compétentes demandent aux autorités compétentes nationales en vertu de la directive (UE)
2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures
destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union,
modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la
directive (UE) 2016/1148 d'exercer leurs pouvoirs de supervision et d'exécution à l'égard
13
d'une entité relevant de ladite directive qui a été désignée en tant qu'entité critique en vertu de
la présente loi. À cette fin, les autorités compétentes coopèrent et échangent des informations
avec les autorités nationales compétentes en vertu de la directive (UE) 2022/2555 du Parlement
européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un
niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement
(UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148.
Art. 19. (1) Lorsque l'autorité compétente concernée constate une violation des obligations
prévues par les articles 11, 12, 16 et 18 elle peut frapper l'entité critique concernée d'une ou
de plusieurs des sanctions suivantes :
10 un avertissement ;
2° un blâme ;
30 une amende administrative, dont le montant est proportionné à la gravité du manquement,
à la situation de l'intéressé, à l'ampleur du dommage et aux avantages qui en sont tirés
sans pouvoir excéder 250 000 euros.
(2) En cas de constatation d'un fait susceptible de constituer un manquement visé au
paragraphe 1", l'autorité compétente concernée engage une procédure contradictoire dans
laquelle l'entité critique concernée a la possibilité de consulter le dossier et de présenter ses
observations écrites ou verbales. L'entité critique concernée peut se faire assister ou représenter
par une personne de son choix. À l'issue de la procédure contradictoire, l'autorité compétente
concernée peut prononcer à l'encontre de l'entité critique concernée une ou plusieurs des
sanctions visées au paragraphe 1er •
(3) Les décisions prises par l'autorité compétente concernée à l'issue de la procédure
contradictoire sont motivées et notifiées à l'entité critique concernée.
(4) Contre les décisions visées au paragraphe 3 un recours en réformation est ouvert devant le
tribunal administratif.
(5) L'Administration de l'enregistrement, des domaines et de la TVA est chargée du
recouvrement des amendes administratives qui lui sont communiquées par l'autorité
compétente moyennant la transmission d'une copie des décisions de fixation. Le recouvrement
est poursuivi comme en matière d'enregistrement.
Chapitre 7 — Dispositions modificatives
Art. 20. Dans l'article 22, paragraphe 10, de la loi modifiée du 25 mars 2015 fixant le régime
des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État, les
mots «pour assurer l'opérationnalité permanente du Centre national de crise» sont insérés
après les mots « soumis à une obligation de permanence ou de présence ».
Art. 21. La loi modifiée du 23 juillet 2016 portant création d'un Haut-Commissariat à la
Protection nationale est modifiée comme suit:
14
1° A l'article 1, alinéa 1er, les termes « infrastructures critiques » sont remplacés par ceux
de « entités critiques »;
2° L'article 2, point 4, est remplacé par le texte suivant :
«4. «entité critique »: une entité au sens de la loi du XXX sur la résilience des entités
critiques; »;
3° L'article 3 est modifié comme suit:
a) Le paragraphe 1", lettre b), point 3, est remplacé par le texte suivant :
«3. de veiller à l'exécution des mesures relatives à la résilience des entités critiques
en application de la loi du XXX sur la résilience des entités critiques; »
b) Aux paragraphes lter, lettre g, lquater, lettres a et b, et 3, les termes «infrastructures
critiques » sont remplacés par ceux de « entités critiques »;
40 L'intitulé du chapitre 4 est remplacé par l'intitulé suivant :
«Chapitre 4 — La protection des entités critiques » ;
5° Les articles 4 à 8 sont abrogés ;
6° A l'article 9, alinéa 1", les termes «infrastructure critique » sont remplacés par ceux de
«entité critique » et le terme « infrastructure » est remplacé par celui de « entité ».
Chapitre 8 — Intitulé de citation
Art. 22. La référence à la présente loi se fait sous la forme suivante : «loi du XXX sur la
résilience des entités critiques ».
15
ANNEXE
Secteurs, sous-secteurs et catégories d'entités
1.
Secteurs
Énergie
Sous-secteurs
a) Électricité
Catégories d'entités
- Entreprises d'électricité au sens de
l'article 1", point 14, de la loi
modifiée du 1" août 2007 relative à
l'organisation
du
marché
de
l'électricité, qui assurent la fonction
de « fourniture » au sens de l'article
point 21, de la même loi
- Gestionnaires
de
réseau
de
distribution au sens de l'article 1",
point 24, de la loi modifiée du 1" août
2007 relative à l'organisation du
marché de l'électricité
- Gestionnaires de réseau de transport
au sens de l'article 1 er, point 25, de la
loi modifiée du 1" août 2007 relative
à l'organisation du marché de
l'électricité
- Producteurs au sens de l'article 1",
point 39, de la loi modifiée du 1" août
2007 relative à l'organisation du
marché de l'électricité
- Opérateurs désignés du marché de
l'électricité au sens de l'article 2,
point 8, du règlement (UE) 2019/943
du Parlement européen et du Conseil
du 5 juin 2019 sur le marché intérieur
de l'électricité
- Acteurs du marché au sens de l'article
2, point 25, du règlement (UE)
2019/943 du Parlement européen et
du Conseil du 5 juin 2019 sur le
marché intérieur de l'électricité, qui
fournissent des services d'agrégation,
de participation active de la demande
ou de stockage d'énergie au sens de
l'article 1er, points lquindecies,
3 lquater et 49ter, de la loi de 1" août
2007 relative à l'organisation du
marché de l'électricité
16
b) Réseaux
chaleur et
froid
de
de
c) Pétrole
d) Gaz
17
- Opérateurs de réseaux de chaleur ou
de réseau de froid au sens de l'article
2, point 19, de la directive (UE)
2018/2001 du Parlement européen et
du Conseil du 11 décembre 2018
relative à la promotion de l'utilisation
de l'énergie produite à partir de
sources renouvelables
- Exploitants d'oléoducs
d'installations
de
- Exploitants
raffinage,
de
production,
de
traitement, de stockage et de transport
de pétrole
- Entités centrales de stockage au sens
de l'article ler, lettre g), de la loi
modifiée du 10 février 2015 relative à
l'organisation du marché de produits
pétroliers
- Entreprises de fourniture au sens de
l'article 1", point 14, de la loi
modifiée du 1" août 2007 relative à
l'organisation du marché de gaz
naturel
- Gestionnaires
de
réseau
de
distribution au sens de l'article 1",
point 22, de la loi modifiée du 1" août
2007 relative à l'organisation du
marché de gaz naturel
- Gestionnaires de réseau de transport
au sens de l'article 1" , point 24, de la
loi modifiée du 1" août 2007 relative
à l'organisation du marché de gaz
naturel
- Gestionnaires
d'installation
de
stockage au sens de l'article 1", point
25, de la loi modifiée du 1" août 2007
relative à l'organisation du marché du
gaz naturel
- Gestionnaires d'installation de GNL
au sens de l'article 1", point 23, de la
loi modifiée du 1" août 2007 relative
à l'organisation du marché du gaz
naturel
- Entreprises de gaz naturel au sens de
l'article 1", point 15, de la loi
modifiée du 1 er août 2007 relative à
l'organisation du marché de gaz
naturel
- Exploitants
d'installations
de
raffinage et de traitement de gaz
naturel
- Exploitants
de
systèmes
de
production, de stockage et de
transport d'hydrogène
- Transporteurs aériens au sens de
l'article 3, point 4, du règlement (CE)
n° 300/2008 du Parlement européen et
du Conseil du 11 mars 2008 relatif à
l'instauration de règles communes
dans le domaine de la sûreté de
l'aviation civile et abrogeant le
règlement (CE) no 2320/2002 utilisés
à des fins commerciales
- Entités gestionnaires d'aéroports au
sens de l'article 2, point 1, de loi du 23
mai 2012 portant transposition de la
directive 2009/12/CE du Parlement
européen et du Conseil du 11 mars
2009
sur
les
redevances
aéroportuaires
et
portant
modification: 1) de la loi modifiée du
31 janvier 1948 relative à la
réglementation de la navigation
aérienne ; 2) de la loi modifiée du 19
mai 1999 ayant pour objet a) de
réglementer l'accès au marché de
l'assistance en escale à l'aéroport de
Luxembourg, b) de créer un cadre
réglementaire dans le domaine de la
sûreté de l'aviation civile, et c)
d'instituer une Direction de l'Aviation
Civile, aéroports au sens de l'article 2,
point 1, de la directive 2009/12/CE du
Parlement européen et du Conseil du
11 mars 2009 sur les redevances
aéroportuaires, y compris les
aéroports du réseaux central énumérés
à l'annexe II, section 2, du règlement
(UE) n° 1315/2013 du Parlement
européen et du Conseil du 11
décembre 2013 sur les orientations de
l'Union pour le développement du
réseau transeuropéen de transport et
no
la
décision
abrogeant
661/2010/UE, et entités exploitant les
installations annexes se trouvant dans
les aéroports
e) Hydrogène
2. Transports
a) Transports
aériens
18
b) Transports
ferroviaires
c) Transports
eau
- Services du contrôle de la circulation
aérienne assurant les services du
contrôle de la circulation aérienne au
sens de l'article 2, point 1, du règlement (CE) n° 549/2004 du Parlement
européen et du Conseil du 10 mars
2004 fixant le cadre pour la réalisation
du ciel unique européen
- Gestionnaires de l'infrastructure au
sens de l'article 2, point 31, de la loi
du 5 février 2021 relative à
l'interopérabilité ferroviaire, à la
sécurité ferroviaire et à la certification
des conducteurs de train
- Entreprises ferroviaires au sens de
l'article 2, point 15, de la loi modifiée
du 6 juin 2019 portant transposition de
la directive (UE) 2016/2370 du
Parlement européen et du Conseil du
14 décembre 2016 modifiant la
directive 2012/34/UE en ce qui
concerne l'ouverture du marché des
services nationaux de transport de
voyageurs par chemin de fer et la
gouvernance
de
l'infrastructure
ferroviaire
et
exploitants
d'installations de services au sens de
l'article 2, point 18, de la même loi
par - Sociétés de transport par voie d'eau
intérieure, maritime et côtier de
passagers et de fret telles qu'elles sont
définies pour le domaine du transport
maritime visé à l'annexe I du
règlement (CE) n° 725/2004 du
Parlement européen et du Conseil du
31 mars 2004 relatif à l'amélioration
de la sûreté des navires et des
installations portuaires, à l'exclusion
des navires exploités à titre individuel
par ces sociétés
- Entités gestionnaires des ports au sens
de l'article 3, point 1, de la directive
2005/65/CE du Parlement européen et
du Conseil du 26 octobre 2005
relative à l'amélioration de la sûreté
des ports, y compris les installations
portuaires au sens de l'article 2, point
11, du règlement (CE) n° 725/2004 du
Parlement européen et du Conseil du
31 mars 2004 relatif à l'amélioration
19
de la sûreté des navires et des
installations portuaires, ainsi que les
entités exploitant des ateliers et des
équipements à l'intérieur des ports
- Exploitants de services de trafic
maritime (STM) au sens de l'article 2,
lettre o), du règlement grand-ducal
modifié du 27 février 2011 relatif à la
mise en place d'un système
communautaire de suivi du trafic des
navires et d'information
- Autorités routières au sens de l'article
2, point 12, du règlement délégué
(UE) 2015/962 de la Commission du
18 décembre 2014 complétant la
directive 2010/40/UE du Parlement
européen et du Conseil en ce qui
concerne la mise à disposition, dans
l'ensemble de l'Union, de services
d'informations en temps réel sur la
circulation, chargées du contrôle de la
gestion de la circulation, à l'exclusion
des entités publiques pour lesquelles
la gestion de la circulation ou
l'exploitation des systèmes de
transport intelligents constituent une
partie non essentielle de leur activité
générale
- Exploitants de systèmes de transport
intelligents au sens de la lettre
circulaire du 22 février 2012
concernant la directive 2010/40/UE
du Parlement européen et du Conseil
du 7 juillet 2010 concernant le cadre
pour le déploiement de systèmes de
transport intelligents dans le domaine
du transport routier et d'interfaces
avec d'autres modes de transport
- Opérateurs de services publics au sens
de l'article 2, lettre d), du règlement
(CE) no 1370/2007 du Parlement
européen et du Conseil du 23 octobre
2007 relatif aux services publics de
transport de voyageurs par chemin de
fer et par route, et abrogeant les
règlements (CEE) n° 1191/69 et
ÇCEE) n° 1107/70 du Conseil
- Etablissements de crédit au sens de
l'article 4, point 1, du règlement (UE)
n° 575/2013 du Parlement européen et
d) Transports
routiers
e) Transports
publics
3. Secteur bancaire
20
du Conseil du 26 juin 2013 concernant
prudentielles
exigences
les
applicables aux établissements de
entreprises
aux
et
crédit
d'investissement et modifiant le
règlement (UE) n° 648/2012
- Exploitants de plates-formes de
négociation au sens de l'article 1",
point 43, de la loi du 30 mai 2018
relative aux marchés d'instruments
financiers
- Contreparties centrales au sens de
l'article 2, point 1, du règlement (UE)
no 648/2012 du Parlement européen et
du Conseil du 4 juillet 2012 sur les
produits dérivés de gré à gré, les
contreparties centrales et les
référentiels centraux
- Prestataires de soins de santé au sens
de l'article 2, lettre e), de la loi
modifiée du 24 juillet 2014 relative
aux droits et obligations du patient
- Laboratoires de référence de l'UE
visés à l'article 15 du règlement (UE)
2022/2371 du Parlement européen et
du Conseil du 23 novembre 2022
concernant
les
menaces
transfrontières graves pour la santé et
abrogeant
la
décision
n°
1082/2013/UE
- Entités exerçant des activités de
recherche et de développement dans
le domaine des médicaments au sens
de l'article 1", point 2, de la directive
2001/83/CE du Parlement européen et
du Conseil du 6 novembre 2001
instituant un code communautaire
relatif aux médicaments à usage
humain
- Entités fabriquant des produits
pharmaceutiques de base et des
préparations pharmaceutiques au sens
de la NACE Rév. 2 Nomenclature
statistique des activités économiques
dans la Communauté européenne,
section C, division 21
- Entités fabriquant des dispositifs
médicaux considérés comme critiques
en cas d'urgence de santé publique
(liste des dispositifs médicaux
4. Infrastructures des
marchés financiers
5. Santé
21
critiques en cas d'urgence de santé
publique) au sens de l'article 22 du
règlement (UE) 2022/123 du
Parlement européen et du Conseil du
25 janvier 2022 relatif à un rôle
renforcé de l'Agence européenne des
médicaments dans la préparation aux
crises et la gestion de celles-ci en ce
qui concerne les médicaments et les
dispositifs médicaux
- Entités titulaires d'une autorisation de
distribution au sens de l'article 4 de la
loi modifiée du 6 janvier 1995 relative
à la distribution en gros des
médicaments
- Fournisseurs et distributeurs d'eaux
destinées à la consommation humaine
au sens de l'article 2, point 1, lettre a),
de la loi du 23 décembre 2022 relative
à la qualité des eaux destinées à la
consommation humaine, à l'exclusion
des distributeurs pour lesquels la
distribution d'eaux destinées à la
consommation humaine constitue une
partie non essentielle de leur activité
générale de distribution d'autres
produits et biens
- Entreprises collectant, évacuant ou
traitant les eaux urbaines résiduaires,
des eaux ménagères usées ou des eaux
industrielles usées au sens de l'article
2, points 1,2 et 3, du règlement grandducal modifié du 13 mai 1994 relatif
au traitement des eaux urbaines
résiduaires, à l'exclusion des
entreprises pour lesquelles la collecte,
l'évacuation ou le traitement des eaux
urbaines résiduaires, des eaux
ménagères usées ou des eaux
industrielles usées constituent une
partie non essentielle de leur activité
générale
- Fournisseurs de points d'échange
internet au sens de l'article 6, point 18,
de la directive (UE) 2022/2555 du
Parlement européen et du Conseil du
14 décembre 2022 concernant des
mesures destinées à assurer un niveau
élevé commun de cybersécurité dans
l'ensemble de l'Union, modifiant le
6. Eau potable
7. Eaux résiduaires
8. Infrastructures
numériques
22
règlement (UE) no 910/2014 et la
directive (UE) 2018/1972, et
abrogeant la directive (UE)
2016/1148
Fournisseurs de services DNS au sens
de l'article 6, point 20, de la directive
(UE) 2022/2555 du Parlement
européen et du Conseil du 14
décembre 2022 concernant des
mesures destinées à assurer un niveau
élevé commun de cybersécurité dans
l'ensemble de l'Union, modifiant le
règlement (UE) n° 910/2014 et la
directive (UE) 2018/1972, et
abrogeant la directive (UE)
2016/1148, à l'exclusion des
opérateurs de serveurs racines de
noms de domaines
Registres de noms de domaines de
premier niveau au sens de l'article 6,
point 21, de la directive (UE)
2022/2555 du Parlement européen et
du Conseil du 14 décembre 2022
concernant des mesures destinées à
assurer un niveau élevé commun de
cybersécurité dans l'ensemble de
l'Union, modifiant le règlement (UE)
n° 910/2014 et la directive (UE)
2018/1972, et abrogeant la directive
(UE) 2016/1148
Fournisseurs
de
services
d'informatique en nuage au sens de
l'article 6, point 30, de la directive
(UE) 2022/2555 du Parlement
européen et du Conseil du 14
décembre 2022 concernant des
mesures destinées à assurer un niveau
élevé commun de cybersécurité dans
l'ensemble de l'Union, modifiant le
règlement (UE) n° 910/2014 et la
directive (UE) 2018/1972, et
abrogeant la directive (UE)
2016/1148
Fournisseurs de services de centre de
données au sens de l'article 6, point
31, de la directive (UE) 2022/2555 du
Parlement européen et du Conseil du
14 décembre 2022 concernant des
mesures destinées à assurer un niveau
élevé commun de cybersécurité dans
23
-
-
-
-
9. Administration
publique
10. Espace
-
24
l'ensemble de l'Union, modifiant le
règlement (UE) n° 910/2014 et la
directive (UE) 2018/1972, et
abrogeant
la
directive
(UE)
2016/1148
Fournisseurs de réseaux de diffusion
de contenu au sens de l'article 6, point
32, de la directive (UE) 2022/2555 du
Parlement européen et du Conseil du
14 décembre 2022 concernant des
mesures destinées à assurer un niveau
élevé commun de cybersécurité dans
l'ensemble de l'Union, modifiant le
règlement (UE) no 910/2014 et la
directive (UE) 2018/1972, et
abrogeant
la
directive
(UE)
2016/1148
Prestataires de services de confiance
au sens de l'article 3, point 19, du
règlement (UE) no 910/2014 du
Parlement européen et du Conseil du
23 juillet 2014 sur l'identification
électronique et les services de
confiance pour les transactions
électroniques au sein du marché
intérieur et abrogeant la directive
1999/93/CE
Fournisseurs
de
réseaux
de
communications
électroniques
publics au sens de l'article 2, point 8,
de la loi du 17 décembre 2021 sur les
réseaux et
les services de
communications électroniques
services
de
Fournisseurs
de
communications électroniques au
sens de l'article 2, point 4, de la loi du
17 décembre 2021 sur les réseaux et
les services de communications dans
la mesure où leurs services sont
accessibles au public
Entité de l'administration publique
telle que définie à l'article 2, point 9
Exploitants d'infrastructures au sol,
détenues, gérées et exploitées par des
États membres ou par des parties
privées, qui soutiennent la fourniture
de services spatiaux, à l'exclusion des
de
réseaux
fournisseurs
de
électroniques
communications
publics au sens de l'article 2, point 8,
de la loi du 17 décembre 2021 sur les
réseaux
et
les services de
communications
- Entreprises du secteur alimentaire au
sens de l'article 3, point 2, du
règlement (CE) no 178/2002 du
Parlement européen et du Conseil du
28 janvier 2002 établissant les
principes généraux et les prescriptions
générales de la législation alimentaire,
instituant l'Autorité européenne de
sécurité des aliments et fixant des
procédures relatives à la sécurité des
denrées alimentaires, qui exercent
exclusivement des activités de
logistique et de distribution en gros
ainsi que de production et de
transformation industrielles à grande
échelle
- Entreprises impliquée dans la gestion
des déchets au sens de l'article 4,
point 22, de la loi modifiée du 21 mars
2012 relative aux déchets
11. Production,
transformation et
distribution
de
denrées
alimentaires
12. Gestion
déchets
des
25
Exposé des motifs
Le projet de loi se propose de transposer la directive (UE) 2022/2557 du Parlement européen
et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la
directive 2008/114/CE du Conseil (Critical Entities Resilience Directive, ci-après «directive
CER »).
Le but primaire de la directive et du projet de loi y afférent est la protection des entités critiques,
c'est-à-dire des entités qui assurent un service qui est indispensable pour assurer des fonctions
sociétales ou des activités économiques vitales, dénommé « service essentiel ». Ces entités sont
critiques dans un double sens. D'une part, ces entités et les services essentiels qu'elles
fournissent sont en eux-mêmes cruciaux pour nos …
Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.