← Luxembourg

En bref

Cette loi vise à renforcer la capacité des entités publiques ou privées essentielles à prévenir, gérer et se remettre d'incidents perturbant leurs services. Elle transpose une directive européenne pour assurer un niveau élevé de résilience de ces entités.

Ce qu'elle réglemente

Qui elle concerne

Points clés

📄 Texte de loi
LE GOUVERNEMENT DU GRAND-DUCHÉ DE LUXEMBOURG Haut-Commissariat à la protection nationale Projet de loi portant transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil, et modifiant : 1° la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État; 2° la loi modifiée du 23 juillet 2016 portant création d'un HautCommissariat à la Protection nationale Texte du projet de loi Chapitre ler — Définition et champ d'application Art. ler. (1) La présente loi ne s'applique pas aux questions couvertes par la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, sans préjudice de l'article 8. (2) Lorsque des dispositions d'actes juridiques sectoriels de l'Union européenne exigent des entités critiques qu'elles adoptent des mesures pour renforcer leur résilience, et lorsque ces exigences ont un effet au moins équivalent aux obligations correspondantes prévues par la présente loi, les dispositions pertinentes de la présente loi, y compris les dispositions relatives à la supervision et à l'exécution prévues au chapitre 6, ne s'appliquent pas. (3) La présente loi est sans préjudice du droit de l'Union européenne relatif à la protection des données à caractère personnel, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE et la loi modifiée du 30 mai 2005 relative aux dispositions spécifiques de protection de la personne à l'égard du traitement des données à caractère personnel dans le secteur des communications électroniques et portant modification des articles 88-2 et 88-4 du Code d'instruction criminelle. Art. 2. Pour l'application de la présente loi, on entend par: 10 « entité critique » : une entité publique ou privée qui a été désignée conformément à l'article 7 comme appartenant à l'une des catégories qui figurent dans la troisième colonne du tableau de l'annexe ; 2° «résilience »: la capacité d'une entité critique à prévenir tout incident, à s'en protéger, à y réagir, à y résister, à l'atténuer, à l'absorber, à s'y adapter et à s'en rétablir ; 1 30 « incident » : un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d'un service essentiel, y compris lorsqu'il affecte les systèmes nationaux qui préservent l'état de droit ; 4° «infrastructure critique » : un bien, une installation, un équipement, un réseau ou un système, ou une partie d'un bien, d'une installation, d'un équipement, d'un réseau ou d'un système, qui est nécessaire à la fourniture d'un service essentiel ; 5° «service essentiel »: un service qui est crucial pour le maintien de fonctions sociétales ou d'activités économiques vitales, de la santé publique et de la sûreté publique, ou de 1' environnement ; 6° «maintien de fonctions sociétales vitales »: la disponibilité de services indispensables à la sauvegarde des intérêts vitaux ou des besoins essentiels de tout ou partie du pays ou de la population; 7° «risque » : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l'ampleur de cette perte ou de cette perturbation et la probabilité que l'incident se produise ; 8° «évaluation des risques » : l'ensemble du processus permettant de déterminer la nature et l'étendue d'un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d'un service essentiel causée par cet incident; 9° «entité de l'administration publique » : toute entité, à l'exclusion de l'organisation judiciaire, de la Chambre des députés et de la Banque centrale du Luxembourg, qui satisfait aux critères suivants : a) elle a été créée pour satisfaire des besoins d'intérêt général et n'a pas de caractère industriel ou commercial; b) elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d'une autre entité dotée de la personnalité juridique ; c) elle est financée majoritairement par les autorités de l'État ou d'autres organismes de droit public de niveau central, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d'administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l'État ou d'autres organismes de droit public de niveau central; d) elle a le pouvoir d'adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux. Chapitre 2 — Autorités compétentes et point de contact national unique Art. 3. La Commission de surveillance du secteur financer est l'autorité compétente chargée de veiller à l'application correcte de la présente loi pour le secteur bancaire et le secteur des 2 infrastructures des marchés financiers, figurant aux points 3 et 4 du tableau de l'annexe, ainsi que le secteur des infrastructures numériques, figurant au point 8 du tableau de l'annexe, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financer. Le Haut-Commissariat à la Protection nationale est l'autorité compétente chargée de veiller à l'application correcte de la présente loi pour les autres secteurs visés à l'annexe, ainsi que le secteur des infrastructures numériques, figurant au point 8 du tableau de l'annexe, pour les activités qui ne tombent pas sous la surveillance de la Commission de surveillance du secteur financier. L'obligation au secret professionnel prévue par l'article 16 de la loi modifiée du 23 décembre 1998 portant création d'une Commission de surveillance du secteur financier ne fait pas obstacle à l'échange d'informations confidentielles entre les autorités compétentes dans le cadre et aux seules fins de la présente loi et des mesures prises pour son exécution. Art. 4. Le Haut-Commissariat à la Protection nationale constitue le point de contact national unique chargé d'exercer une fonction de liaison afin d'assurer la coopération transfrontière avec les points de contact uniques des autres États membres et avec le groupe sur la résilience des entités critiques visé à l'article 19 de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil. En outre, le point de contact national unique exerce une fonction de liaison avec la Commission européenne et assure la coopération avec les pays tiers. Chapitre 3 — Cadre national pour la résilience des entités critiques Art. 5. Le Haut-Commissariat à la Protection nationale élabore, après consultation de la Commission de surveillance du secteur financier, une stratégie visant à renforcer la résilience des entités critiques qui définit des objectifs stratégiques et des mesures politiques, en s'appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants, en vue d'atteindre et de maintenir un niveau élevé de résilience des entités critiques et de couvrir au moins les secteurs figurant à l'annexe. La stratégie contient les éléments suivants : 10 les objectifs stratégiques et les priorités aux fins de renforcer la résilience globale des entités critiques, compte tenu des dépendances et des interdépendances transfrontières et transsectorielles ; 2° un cadre de gouvernance permettant d'atteindre les objectifs stratégiques et les priorités, y compris une description des rôles et des responsabilités des différentes autorités, entités critiques et autres parties participant à la mise en œuvre de la stratégie ; 30 une description des mesures nécessaires pour renforcer la résilience globale des entités critiques, y compris une description de l'évaluation des risques visée à l'article 6; 4° une description du processus par lequel les entités critiques sont recensées ; 3 5° une description du processus de soutien aux entités critiques conformément au présent chapitre, y compris les mesures visant à renforcer la coopération entre le secteur public, d'une part, et le secteur privé et les entités publiques et privées, d'autre part; 6° une liste des principales autorités et parties prenantes concernées, autres que les entités critiques, participant à la mise en oeuvre de la stratégie ; 7° un cadre d'action pour la coordination entre les autorités compétentes au sens de la présente loi et les autorités compétentes en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 aux fins du partage d'informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité, et de l'exercice des tâches de supervision; 8° une description des mesures déjà en place visant à faciliter la mise en œuvre des obligations prévues au chapitre 4 par les petites et moyennes entreprises au sens de l'annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises recensées en tant qu'entités critiques. À la suite d'une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, le Haut-Commissariat à la Protection nationale met à jour la stratégie au moins tous les quatre ans. Art. 6. (1) Le Haut-Commissariat à la Protection nationale effectue une évaluation des risques sur base des services essentiels identifiés par la Commission européenne. Cette évaluation des risques est utilisée pour recenser les entités critiques conformément à l'article 7 et pour aider les entités critiques à adopter des mesures en vertu de l'article 12. (2) Afin de procéder à l'évaluation des risques, le Haut-Commissariat à la Protection nationale tient compte des éléments suivants : 10 l'analyse des risques qui tient compte des risques naturels et d'origine humaine pertinents, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par le Code pénal ; 2° l'évaluation des risques générale effectuée en vertu de l'article 6, paragraphe 1', de la décision n° 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l'Union européenne ; 3° d'autres évaluations des risques pertinentes effectuées conformément aux exigences des actes juridiques sectoriels pertinents de l'Union européenne, y compris le règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l'approvisionnement en gaz naturel et abrogeant le règlement (UE) n° 994/2010 et le règlement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin 2019 sur la préparation aux risques dans le secteur de l'électricité et 4 abrogeant la directive 2005/89/CE, ainsi que la loi modifiée du 19 décembre 2008 relative à l'eau et la loi du 28 avril 2017 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses ; 4° les risques pertinents découlant de la mesure dans laquelle les secteurs figurant à l'annexe dépendent les uns des autres, y compris de la mesure dans laquelle ils dépendent d'entités situées dans d'autres États membres et des pays tiers, et l'incidence qu'une perturbation importante dans un secteur peut avoir sur d'autres secteurs, y compris tout risque important pour les citoyens et le marché intérieur ; 5° toute information sur les incidents notifiés conformément à l'article 16. Aux fins du premier alinéa, point 4, le Haut-Commissariat à la Protection nationale coopère avec les autorités compétentes d'autres États membres en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil et les autorités compétentes de pays tiers, s'il y a lieu. (3) Le Haut-Commissariat à la Protection nationale met à la disposition des entités critiques recensées conformément à l'article 7, les éléments pertinents des évaluations des risques. Art. 7. (1) Les autorités compétentes recensent les entités critiques pour les secteurs et soussecteurs figurant à l'annexe. La désignation d'une entité critique fait l'objet d'un arrêté grand-ducal. (2) Lorsqu'une autorité compétente recense les entités critiques en vertu du paragraphe 1", elle tient compte des résultats de l'évaluation des risques effectuée en vertu de l'article 6 et de la stratégie visée à l'article 5 et applique tous les critères suivants : 1° l'entité fournit un ou plusieurs services essentiels ; 2° l'entité exerce ses activités sur le territoire luxembourgeois et son infrastructure critique est située sur ledit territoire; et 3° un incident aurait des effets perturbateurs importants, déterminés conformément au paragraphe 3 du présent article, sur la fourniture par l'entité d'un ou de plusieurs services essentiels ou sur la fourniture d'autres services essentiels dans les secteurs figurant à l'annexe qui dépendent dudit ou desdits services essentiels. L'entité critique est tenue de mettre à la disposition de l'autorité compétente toutes les données sollicitées aux fins du recensement, de la désignation et de la protection des entités critiques. (3) L'importance d'un effet perturbateur visé au paragraphe 2, point 3, est déterminée sur base des critères suivants : 1° le nombre d'utilisateurs tributaires du service essentiel fourni par l'entité concernée ; 2° la mesure dans laquelle les autres secteurs et sous-secteurs figurant à l'annexe dépendent du service essentiel en question; 5 3° l'impact que des incidents pourraient avoir, du point de vue de l'ampleur et de la durée, sur les activités économiques et sociétales, l'environnement, la sûreté et la sécurité publiques, ou la santé de la population; 4° la part de marché de l'entité sur le marché du ou des services essentiels concernés ; 5° la zone géographique susceptible d'être affectée par un incident, y compris toute incidence transfrontière, compte tenu de la vulnérabilité associée au degré d'isolement de certains types de zones géographiques ; 6° l'importance que revêt l'entité pour le maintien d'un niveau suffisant de service essentiel, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service essentiel. (4) Les autorités compétentes dressent une liste des entités critiques recensées et désignées en vertu du paragraphe 2 et veillent à ce que ces entités critiques reçoivent notification de ce qu'elles ont été désignées en tant qu'entités critiques dans un délai d'un mois à compter de cette désignation. Les autorités compétentes informent ces entités critiques des obligations qui leur incombent en vertu des chapitres 4 et 5 et de la date à partir de laquelle ces obligations leur sont applicables, sans préjudice de l'article 8. Les autorités compétentes informent les entités critiques des secteurs figurant aux points 3 et 4 du tableau de l'annexe qu'elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5. De même, les autorités compétentes informent les entités critiques du secteur figurant au point 8 du tableau de l'annexe qu'elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier. Le chapitre 4 s'applique aux entités critiques concernées à l'expiration d'un délai de dix mois à compter de la date de la notification visée au premier alinéa du présent paragraphe. (5) L'entité critique, à la suite de la notification visée au paragraphe 4, informe son autorité compétente lorsqu'elle fournit des services essentiels à ou dans six États membres ou plus. En pareil cas, l'entité critique informe son autorité compétente au sujet des services essentiels qu'elle fournit à ou dans ces États membres et au sujet des États membres auxquels ou dans lesquels elle fournit ces services essentiels. Les dispositions du chapitre 5 s'appliquent. (6) Les autorités compétentes notifient aux autorités compétentes en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 l'identité des entités critiques qu'ils ont recensées et désignées dans un délai d'un mois à compter de la désignation. Cette notification précise, le cas échéant, que les entités critiques concernées sont des entités des secteurs figurant aux points 3 et 4 du tableau de l'annexe et qu'elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5. De même, cette notification précise, le cas échéant, que les entités critiques concernées sont des entités des secteurs figurant au point 8 du tableau de l'annexe et qu'elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier. 6 (7) Si nécessaire et en tout état de cause au moins tous les quatre ans, les autorités compétentes réexaminent et, s'il y a lieu, mettent à jour la liste des entités critiques recensées et désignées visées au paragraphe 4. Lorsque ces mises à jour entraînent le recensement et la désignation d'entités critiques supplémentaires, les paragraphes 4 à 6 s'appliquent à ces entités critiques supplémentaires. En outre, les autorités compétentes notifient en temps utile les entités qui ne sont plus recensées en tant qu'entités critiques, à la suite d'une telle mise à jour, de ce fait et du fait qu'elles ne sont plus soumises aux obligations prévues au chapitre 4 à compter de la date de réception de cette notification. Art. 8. L'article 10 et les chapitres 4, 5 et 6 ne s'appliquent ni aux entités critiques recensées dans les secteurs figurant aux points 3 et 4 du tableau de l'annexe, ni aux entités critiques recensées dans le secteur figurant au point 8 du tableau de l'annexe, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier. Art. 9. (1) Les autorités compétentes aident les entités critiques à renforcer leur résilience. (2) Les autorités compétentes coopèrent et échangent des informations et des bonnes pratiques avec les entités critiques des secteurs figurant à l'annexe. Art. 10. Chaque fois que cela est approprié, les autorités compétentes se consultent avec les autorités compétentes des autres États membres au sujet des entités critiques aux fins d'assurer l'application cohérente de la présente loi. Ces consultations ont lieu en particulier au sujet des entités critiques qui : 10 utilisent des infrastructures critiques qui sont physiquement connectées entre deux États membres ou plus; 2° font partie de structures d'entreprise qui sont connectées ou liées à des entités critiques dans d'autres États membres ; 3° ont été recensées en tant qu'entités critiques dans un État membre et fournissent des services essentiels à ou dans d'autres États membres. Chapitre 4 — Résilience des entités critiques Art. 11. (1) Sans préjudice de l'article 7, paragraphe 4, deuxième alinéa, les entités critiques procèdent à une évaluation des risques dans un délai de neuf mois suivant la réception de la notification visée à l'article 7, paragraphe 4, selon les besoins par la suite et au moins tous les quatre ans, sur la base de l'évaluation des risques visée à l'article 6 et d'autres sources d'informations pertinentes, afin d'évaluer tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels (ci-après dénommée « évaluation des risques d'entité critique »). (2) Les évaluations des risques d'entités critiques rendent compte de tous les risques naturels et d'origine humaine pertinents, susceptibles d'entraîner un incident, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides et autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par le Code pénal. Une évaluation des risques d'entité critique tient compte de la mesure dans laquelle d'autres secteurs figurant 7 à l'annexe dépendent du service essentiel fourni par l'entité critique et de la mesure dans laquelle cette entité critique dépend des services essentiels fournis par d'autres entités de ces autres secteurs, y compris s'il y a lieu, dans les États membres voisins et les pays tiers. Lorsqu'une entité critique a réalisé d'autres évaluations des risques ou établi des documents en vertu d'obligations prévues dans d'autres actes juridiques qui sont pertinents pour son évaluation des risques d'entité critique, elle peut utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans le présent article. Dans l'exercice de ses fonctions de supervision, l'autorité compétente peut déclarer qu'une évaluation des risques existante réalisée par une entité critique qui porte sur les risques et le degré de dépendance visés au premier alinéa du présent paragraphe respecte, en tout ou en partie, les obligations prévues par le présent article. Art. 12. (1) Les entités critiques prennent des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, sur la base des informations pertinentes fournies par les autorités compétentes concernant l'évaluation des risques visée à l'article 6 et les résultats de l'évaluation des risques d'entité critique, y compris des mesures nécessaires pour: 10 prévenir la survenance d'incidents, en tenant dûment compte de mesures de réduction des risques de catastrophe et d'adaptation au changement climatique ; 2° assurer une protection physique adéquate de leurs locaux et infrastructures critiques; 30 réagir et résister aux conséquences des incidents et les atténuer, en prenant dûment en considération la mise en œuvre de procédures et protocoles de gestion des risques et des crises et de procédures d'alerte ; 4° se rétablir d'incidents, en prenant dûment en considération des mesures assurant la continuité des activités et la détermination d'autres chaînes d'approvisionnement, afin de reprendre la fourniture du service essentiel ; 5° assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en considération des mesures telles que la définition des catégories de personnel qui exercent des fonctions critiques, l'établissement de droits d'accès aux locaux, aux infrastructures critiques et aux informations sensibles, la mise en place de procédures de vérification des antécédents conformément aux articles 13 à 15, la désignation des catégories de personnes tenues de faire l'objet de telles vérifications des antécédents et la définition d'exigences et de qualifications appropriées en matière de formation; 6° sensibiliser le personnel concerné aux mesures visées aux points 1 à 5, en tenant dûment compte des séances de formation, du matériel d'information et des exercices. Aux fins du premier alinéa, point 5, les entités critiques tiennent compte du personnel des prestataires de services extérieurs lorsqu'ils définissent les catégories de personnel qui exercent des fonctions critiques. (2) Les entités critiques mettent en place et appliquent un plan de résilience ou un ou plusieurs documents équivalents, qui décrivent les mesures prises en application du paragraphe 1". Dans l'exercice de ses fonctions de supervision, l'autorité compétente peut déclarer que des mesures 8 existantes de renforcement de la résilience prises par une entité critique qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles visées au paragraphe 1" respectent, en tout ou en partie, les obligations prévues par le présent article. (3) Chaque entité critique désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec les autorités compétentes. Art. 13. (1) La Police grand-ducale est chargée de procéder à des vérifications des antécédents et en est le responsable du traitement tel que défini par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE. Elle procède, sur demande des entités critiques et dans le seul but d'évaluer un risque potentiel pour la sécurité de l'entité concernée, à des vérifications des antécédents des personnes : 10 qui occupent des fonctions sensibles au sein de l'entité critique ou au bénéfice de celleci, notamment en ce qui concerne la résilience de l'entité critique; 2° qui occupent la fonction de responsable du système informatique ou du système de contrôle de l'entité critique; 30 dont le recrutement est envisagé à des postes répondant aux critères énoncés aux points 1 à2. Préalablement à l'introduction de la demande visée au paragraphe 1er, les catégories de personnes tenues de faire l'objet d'une vérification des antécédents désignées dans le cadre des mesures prévues à l'article 12, feront l'objet d'un avis favorable par l'autorité compétente. Une copie de cet avis sera transmise à la Police grand-ducale. (2) Cette demande contient les éléments suivants : 1° l'identité de la personne visée au paragraphe 1" : noms et prénoms, date et lieu de naissance, résidence, nationalité, numéro d'identification national et numéro de la pièce d'identité ainsi qu'une photographie récente ; 2° la nature du contrat de travail ou de la relation juridique liant la personne visée au paragraphe 1el. à l'entité critique; 3° la déclaration écrite ou électronique de la personne visée au paragraphe 1", contenant l'autorisation de procéder à une vérification des antécédents et de demander toute information relative à la demande disponible et directement accessible aux autorités compétentes nationales, ou tout document équivalent auprès des autorités des pays de résidence des cinq dernières années ou dont il a la nationalité ; 40 une liste des lieux de résidence des cinq dernières années et un certificat de résidence datant de moins de trois mois ; 50 un extrait du casier judiciaire des pays énoncés au point 3, à l'exception du Luxembourg, datant de moins de trois mois ; 9 6° l'accord de la personne visée au paragraphe 1", que le bulletin N° 2 du casier judiciaire puisse être délivré directement à la Police grand-ducale ; 7° la signature de la personne visée au paragraphe 1" ; 8° le cachet et la signature de l'entité dont relève la personne visée au paragraphe 1", précédés d'une attestation de ladite entité certifiant le bien-fondé et les motifs de la demande ; 9° une documentation concernant les emplois, les études et les interruptions au cours des cinq dernières années ; 10° une photocopie de la carte d'identité ou du passeport en cours de validité ; 11° un questionnaire biographique dûment rempli. La Police grand-ducale procède à la vérification des antécédents sur une période de cinq ans précédant la demande. Lorsque la personne visée au paragraphe 1" est âgée de moins de vingttrois ans au moment de l'introduction de la demande, la Police est autorisée à consulter le registre spécial prévu par l'article 15 de la loi modifiée du 10 août 1992 relative à la protection de la jeunesse. Toute demande incomplète est retournée à l'entité critique requérante et non traitée. (3) Au terme de la vérification, la Police grand-ducale émet, en application de l'article 14, paragraphe 3, un avis qu'elle transmet à l'entité critique requérante. La Police grand-ducale ne communique pas à l'entité requérante les informations personnelles qu'elle a recueillies dans le cadre de la vérification des antécédents. (4) Les vérifications des antécédents ont une durée de validité de 5 ans. Une demande de renouvellement pour une vérification des antécédents est à introduire au plus tôt six mois et au plus tard quatre mois avant la fin de validité de la vérification des antécédents actuelle. La décision de renouvellement de la vérification des antécédents prend effet à la fin de validité de la décision antérieure. Art. 14. (1) Dans le cadre de l'établissement de l'identité de la personne visée à l'article 13, paragraphe 1", la Police grand-ducale consulte les autorités policières étrangères. Si la personne visée à l'article 13, paragraphe 1", possède la nationalité d'un pays étranger ou réside dans un pays étranger et sous condition de disposer de l'accord écrit ou électronique de cette personne, la Police grand-ducale peut adresser une demande motivée au procureur général d'État en vue de l'obtention d'un extrait du casier judiciaire de l'autorité compétente de l'État membre dont la personne a la nationalité ou de l'autorité compétente de l'État membre dans lequel la personne a résidé au cours des cinq dernières années. (2) La Police grand-ducale peut également consulter tout employeur ou tout établissement d'éducation antérieur ou actuel afin de vérifier l'authenticité des informations fournies. 10 (3) La Police grand-ducale peut demander à la personne visée à l'article 13, paragraphe 1", toute précision qu'elle juge utile par rapport aux éléments fournis dans sa demande. (4) La Police grand-ducale indique dans son avis si la personne visée à l'article 13, paragraphe 1er a : 10 commis ou tenté de commettre une des infractions contre la sûreté de l'État visées aux articles 101 à 135-17 du Code pénal ; 2° commis ou tenté de commettre une des infractions de corruption visées aux articles 246 à 250 du Code pénal ; 3° fait des fausses déclarations en relation avec la demande de vérification des antécédents. Art. 15. (1) La Police grand-ducale met en place un système informatique centralisé permettant de faciliter la gestion administrative des demandes de vérification des antécédents. (2) Les données à caractère personnel en relation avec les vérifications des antécédents sont conservées pendant une année à partir de la notification de l'avis à l'entité critique. Art. 16. (1) Les entités critiques notifient sans retard injustifié à l'autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels. Sauf à être dans l'incapacité de le faire pour des raisons opérationnelles, les entités critiques présentent une première notification au plus tard vingt-quatre heures après avoir pris connaissance d'un incident, suivie, s'il y a lieu, d'un rapport détaillé au plus tard un mois après. Afin de déterminer l'importance de la perturbation, les paramètres suivants sont, en particulier, pris en compte : 10 le nombre et la proportion d'utilisateurs affectés par la perturbation; 2° la durée de la perturbation; 3° la zone géographique concernée par la perturbation, en tenant compte de son éventuel isolement géographique. Les paramètres permettant de déterminer l'importance de la perturbation sont précisés par règlement grand-ducal. (2) Les notifications visées au paragraphe 1" comprennent toutes les informations disponibles nécessaires pour permettre à l'autorité compétente de comprendre la nature, la cause et les conséquences possibles de l'incident, y compris toute information disponible nécessaire pour déterminer tout impact transfrontière de l'incident. Ces notifications n'ont pas pour effet de soumettre les entités critiques à une responsabilité accrue. (3) Sur la base des informations fournies par une entité critique dans une notification visée au paragraphe ler, l'autorité compétente concernée, par l'intermédiaire du point de contact unique, informe le point de contact unique des autres États membres affectés lorsque l'incident a ou pourrait avoir un impact important sur les entités critiques et sur la continuité de la fourniture de services essentiels à ou dans un ou plusieurs autres États membres. 11 Le point de contact unique qui envoie et reçoit des informations en vertu du premier alinéa traite ces informations de manière à en respecter la confidentialité et à préserver la sécurité et les intérêts commerciaux de l'entité critique concernée. (4) Dès que possible après la réception d'une notification visée au paragraphe 1", l'autorité compétente concernée fournit à l'entité critique concernée des informations de suivi pertinentes, y compris des informations qui pourraient aider ladite entité critique à réagir efficacement à l'incident en question. Les autorités compétentes informent le public lorsqu'ils estiment qu'il serait dans l'intérêt général de le faire. Chapitre 5 — Entités critiques d'importance européenne particulière Art. 17. (1) Une entité est considérée comme une entité critique d'importance européenne particulière lorsqu'elle: 10 a été désignée en tant qu'entité critique conformément à l'article 7, paragraphe 1" ; 2° fournit les mêmes services essentiels ou des services essentiels similaires à ou dans six États membres ou plus ; et 3° a fait l'objet d'une notification de la part de la Commission européenne, par l'intermédiaire de son autorité compétente, qu'elle est considérée comme une entité critique d'importance européenne particulière. (2) Les entités critiques d'importance européenne particulière accordent aux missions de conseil organisées par la Commission européenne afin d'évaluer les mesures mises en place par ladite entité pour satisfaire aux obligations qui lui incombent en vertu du chapitre 4, l'accès aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels nécessaires à l'exécution de la mission de conseil concernée. Chapitre 6 — Supervision et exécution Art. 18. (1) Afin d'évaluer le respect des obligations découlant de la présente loi, les autorités compétentes sont autorisées à: 1° procéder à des inspections sur place de l'infrastructure critique et des locaux utilisés par l'entité critique pour fournir ses services essentiels afin de s'assurer de la mise en oeuvre des mesures prises par les entités critiques conformément à l'article 12; 2° procéder à la supervision à distance des mesures prises par les entités critiques conformément à l'article 12; 3° ordonner un audit visant à contrôler la mise en œuvre effective des mesures prises par les entités critiques conformément à l'article 12. Les inspections sur place prévues au point 1 se font entre huit heures et dix-sept heures, moyennant préavis d'au moins deux semaines, par un agent du groupe de traitement ou du 12 groupe d'indemnité Al ou A2 de l'autorité compétente. Ces inspections pourront se dérouler en dehors de cette plage horaire, en cas d'accord de l'entité critique. Les agents visés à l'alinéa 2 signalent leur présence à l'agent de liaison de l'entité critique ou, le cas échéant, à son remplaçant. Ce dernier peut les accompagner et leur prêter concours, le cas échéant, pour mener à bien les inspections. L'agent visé à l'alinéa 2 est tenu de dresser un rapport relatif à l'inspection opérée. Une copie de ce rapport est transmise à l'agent de liaison de l'entité critique. (2) Les entités en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 désignées en tant qu'entités critiques en vertu de la présente loi sont tenues de fournir aux autorités compétentes, dans un délai raisonnable fixé par celles-ci : 10 les informations nécessaires pour évaluer si les mesures prises par ces entités pour garantir leur résilience satisfont aux exigences énoncées à l'article 12; 2° la preuve de la mise en oeuvre effective de ces mesures, y compris les résultats d'un audit effectué par un auditeur indépendant et qualifié sélectionné par ladite entité et effectué à ses frais. Ces données comprennent toutes les informations qui sont nécessaires dans le contexte de la prévention ou de la gestion d'une crise en vertu de la loi modifiée du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale. Lorsqu'elles requièrent ces informations, les autorités compétentes mentionnent la finalité de la demande et précisent les informations exigées. (3) Sans préjudice de la possibilité d'imposer des sanctions conformément à l'article 19, les autorités compétentes peuvent, à la suite des mesures de supervision visées au paragraphe 1" ou de l'évaluation des informations visées au paragraphe 2, enjoindre aux entités critiques concernées de prendre les mesures nécessaires et proportionnées pour remédier à toute violation constatée de la présente loi, dans un délai raisonnable fixé par lesdites autorités, et de leur fournir des informations sur les mesures prises. Ces injonctions tiennent compte, notamment, de la gravité de la violation. (4) Lorsqu'une autorité compétente évalue le respect par une entité critique de ses obligations en vertu du présent article, ladite autorité compétente en informe les autorités compétentes nationales en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148. À cette fin, les autorités compétentes demandent aux autorités compétentes nationales en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 d'exercer leurs pouvoirs de supervision et d'exécution à l'égard 13 d'une entité relevant de ladite directive qui a été désignée en tant qu'entité critique en vertu de la présente loi. À cette fin, les autorités compétentes coopèrent et échangent des informations avec les autorités nationales compétentes en vertu de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148. Art. 19. (1) Lorsque l'autorité compétente concernée constate une violation des obligations prévues par les articles 11, 12, 16 et 18 elle peut frapper l'entité critique concernée d'une ou de plusieurs des sanctions suivantes : 10 un avertissement ; 2° un blâme ; 30 une amende administrative, dont le montant est proportionné à la gravité du manquement, à la situation de l'intéressé, à l'ampleur du dommage et aux avantages qui en sont tirés sans pouvoir excéder 250 000 euros. (2) En cas de constatation d'un fait susceptible de constituer un manquement visé au paragraphe 1", l'autorité compétente concernée engage une procédure contradictoire dans laquelle l'entité critique concernée a la possibilité de consulter le dossier et de présenter ses observations écrites ou verbales. L'entité critique concernée peut se faire assister ou représenter par une personne de son choix. À l'issue de la procédure contradictoire, l'autorité compétente concernée peut prononcer à l'encontre de l'entité critique concernée une ou plusieurs des sanctions visées au paragraphe 1er • (3) Les décisions prises par l'autorité compétente concernée à l'issue de la procédure contradictoire sont motivées et notifiées à l'entité critique concernée. (4) Contre les décisions visées au paragraphe 3 un recours en réformation est ouvert devant le tribunal administratif. (5) L'Administration de l'enregistrement, des domaines et de la TVA est chargée du recouvrement des amendes administratives qui lui sont communiquées par l'autorité compétente moyennant la transmission d'une copie des décisions de fixation. Le recouvrement est poursuivi comme en matière d'enregistrement. Chapitre 7 — Dispositions modificatives Art. 20. Dans l'article 22, paragraphe 10, de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État, les mots «pour assurer l'opérationnalité permanente du Centre national de crise» sont insérés après les mots « soumis à une obligation de permanence ou de présence ». Art. 21. La loi modifiée du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale est modifiée comme suit: 14 1° A l'article 1, alinéa 1er, les termes « infrastructures critiques » sont remplacés par ceux de « entités critiques »; 2° L'article 2, point 4, est remplacé par le texte suivant : «4. «entité critique »: une entité au sens de la loi du XXX sur la résilience des entités critiques; »; 3° L'article 3 est modifié comme suit: a) Le paragraphe 1", lettre b), point 3, est remplacé par le texte suivant : «3. de veiller à l'exécution des mesures relatives à la résilience des entités critiques en application de la loi du XXX sur la résilience des entités critiques; » b) Aux paragraphes lter, lettre g, lquater, lettres a et b, et 3, les termes «infrastructures critiques » sont remplacés par ceux de « entités critiques »; 40 L'intitulé du chapitre 4 est remplacé par l'intitulé suivant : «Chapitre 4 — La protection des entités critiques » ; 5° Les articles 4 à 8 sont abrogés ; 6° A l'article 9, alinéa 1", les termes «infrastructure critique » sont remplacés par ceux de «entité critique » et le terme « infrastructure » est remplacé par celui de « entité ». Chapitre 8 — Intitulé de citation Art. 22. La référence à la présente loi se fait sous la forme suivante : «loi du XXX sur la résilience des entités critiques ». 15 ANNEXE Secteurs, sous-secteurs et catégories d'entités 1. Secteurs Énergie Sous-secteurs a) Électricité Catégories d'entités - Entreprises d'électricité au sens de l'article 1", point 14, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de l'électricité, qui assurent la fonction de « fourniture » au sens de l'article point 21, de la même loi - Gestionnaires de réseau de distribution au sens de l'article 1", point 24, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de l'électricité - Gestionnaires de réseau de transport au sens de l'article 1 er, point 25, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de l'électricité - Producteurs au sens de l'article 1", point 39, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de l'électricité - Opérateurs désignés du marché de l'électricité au sens de l'article 2, point 8, du règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l'électricité - Acteurs du marché au sens de l'article 2, point 25, du règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l'électricité, qui fournissent des services d'agrégation, de participation active de la demande ou de stockage d'énergie au sens de l'article 1er, points lquindecies, 3 lquater et 49ter, de la loi de 1" août 2007 relative à l'organisation du marché de l'électricité 16 b) Réseaux chaleur et froid de de c) Pétrole d) Gaz 17 - Opérateurs de réseaux de chaleur ou de réseau de froid au sens de l'article 2, point 19, de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l'utilisation de l'énergie produite à partir de sources renouvelables - Exploitants d'oléoducs d'installations de - Exploitants raffinage, de production, de traitement, de stockage et de transport de pétrole - Entités centrales de stockage au sens de l'article ler, lettre g), de la loi modifiée du 10 février 2015 relative à l'organisation du marché de produits pétroliers - Entreprises de fourniture au sens de l'article 1", point 14, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de gaz naturel - Gestionnaires de réseau de distribution au sens de l'article 1", point 22, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de gaz naturel - Gestionnaires de réseau de transport au sens de l'article 1" , point 24, de la loi modifiée du 1" août 2007 relative à l'organisation du marché de gaz naturel - Gestionnaires d'installation de stockage au sens de l'article 1", point 25, de la loi modifiée du 1" août 2007 relative à l'organisation du marché du gaz naturel - Gestionnaires d'installation de GNL au sens de l'article 1", point 23, de la loi modifiée du 1" août 2007 relative à l'organisation du marché du gaz naturel - Entreprises de gaz naturel au sens de l'article 1", point 15, de la loi modifiée du 1 er août 2007 relative à l'organisation du marché de gaz naturel - Exploitants d'installations de raffinage et de traitement de gaz naturel - Exploitants de systèmes de production, de stockage et de transport d'hydrogène - Transporteurs aériens au sens de l'article 3, point 4, du règlement (CE) n° 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l'instauration de règles communes dans le domaine de la sûreté de l'aviation civile et abrogeant le règlement (CE) no 2320/2002 utilisés à des fins commerciales - Entités gestionnaires d'aéroports au sens de l'article 2, point 1, de loi du 23 mai 2012 portant transposition de la directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 sur les redevances aéroportuaires et portant modification: 1) de la loi modifiée du 31 janvier 1948 relative à la réglementation de la navigation aérienne ; 2) de la loi modifiée du 19 mai 1999 ayant pour objet a) de réglementer l'accès au marché de l'assistance en escale à l'aéroport de Luxembourg, b) de créer un cadre réglementaire dans le domaine de la sûreté de l'aviation civile, et c) d'instituer une Direction de l'Aviation Civile, aéroports au sens de l'article 2, point 1, de la directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 sur les redevances aéroportuaires, y compris les aéroports du réseaux central énumérés à l'annexe II, section 2, du règlement (UE) n° 1315/2013 du Parlement européen et du Conseil du 11 décembre 2013 sur les orientations de l'Union pour le développement du réseau transeuropéen de transport et no la décision abrogeant 661/2010/UE, et entités exploitant les installations annexes se trouvant dans les aéroports e) Hydrogène 2. Transports a) Transports aériens 18 b) Transports ferroviaires c) Transports eau - Services du contrôle de la circulation aérienne assurant les services du contrôle de la circulation aérienne au sens de l'article 2, point 1, du règlement (CE) n° 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen - Gestionnaires de l'infrastructure au sens de l'article 2, point 31, de la loi du 5 février 2021 relative à l'interopérabilité ferroviaire, à la sécurité ferroviaire et à la certification des conducteurs de train - Entreprises ferroviaires au sens de l'article 2, point 15, de la loi modifiée du 6 juin 2019 portant transposition de la directive (UE) 2016/2370 du Parlement européen et du Conseil du 14 décembre 2016 modifiant la directive 2012/34/UE en ce qui concerne l'ouverture du marché des services nationaux de transport de voyageurs par chemin de fer et la gouvernance de l'infrastructure ferroviaire et exploitants d'installations de services au sens de l'article 2, point 18, de la même loi par - Sociétés de transport par voie d'eau intérieure, maritime et côtier de passagers et de fret telles qu'elles sont définies pour le domaine du transport maritime visé à l'annexe I du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l'amélioration de la sûreté des navires et des installations portuaires, à l'exclusion des navires exploités à titre individuel par ces sociétés - Entités gestionnaires des ports au sens de l'article 3, point 1, de la directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l'amélioration de la sûreté des ports, y compris les installations portuaires au sens de l'article 2, point 11, du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l'amélioration 19 de la sûreté des navires et des installations portuaires, ainsi que les entités exploitant des ateliers et des équipements à l'intérieur des ports - Exploitants de services de trafic maritime (STM) au sens de l'article 2, lettre o), du règlement grand-ducal modifié du 27 février 2011 relatif à la mise en place d'un système communautaire de suivi du trafic des navires et d'information - Autorités routières au sens de l'article 2, point 12, du règlement délégué (UE) 2015/962 de la Commission du 18 décembre 2014 complétant la directive 2010/40/UE du Parlement européen et du Conseil en ce qui concerne la mise à disposition, dans l'ensemble de l'Union, de services d'informations en temps réel sur la circulation, chargées du contrôle de la gestion de la circulation, à l'exclusion des entités publiques pour lesquelles la gestion de la circulation ou l'exploitation des systèmes de transport intelligents constituent une partie non essentielle de leur activité générale - Exploitants de systèmes de transport intelligents au sens de la lettre circulaire du 22 février 2012 concernant la directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d'interfaces avec d'autres modes de transport - Opérateurs de services publics au sens de l'article 2, lettre d), du règlement (CE) no 1370/2007 du Parlement européen et du Conseil du 23 octobre 2007 relatif aux services publics de transport de voyageurs par chemin de fer et par route, et abrogeant les règlements (CEE) n° 1191/69 et ÇCEE) n° 1107/70 du Conseil - Etablissements de crédit au sens de l'article 4, point 1, du règlement (UE) n° 575/2013 du Parlement européen et d) Transports routiers e) Transports publics 3. Secteur bancaire 20 du Conseil du 26 juin 2013 concernant prudentielles exigences les applicables aux établissements de entreprises aux et crédit d'investissement et modifiant le règlement (UE) n° 648/2012 - Exploitants de plates-formes de négociation au sens de l'article 1", point 43, de la loi du 30 mai 2018 relative aux marchés d'instruments financiers - Contreparties centrales au sens de l'article 2, point 1, du règlement (UE) no 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux - Prestataires de soins de santé au sens de l'article 2, lettre e), de la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient - Laboratoires de référence de l'UE visés à l'article 15 du règlement (UE) 2022/2371 du Parlement européen et du Conseil du 23 novembre 2022 concernant les menaces transfrontières graves pour la santé et abrogeant la décision n° 1082/2013/UE - Entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l'article 1", point 2, de la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain - Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de la NACE Rév. 2 Nomenclature statistique des activités économiques dans la Communauté européenne, section C, division 21 - Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d'urgence de santé publique (liste des dispositifs médicaux 4. Infrastructures des marchés financiers 5. Santé 21 critiques en cas d'urgence de santé publique) au sens de l'article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle renforcé de l'Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux - Entités titulaires d'une autorisation de distribution au sens de l'article 4 de la loi modifiée du 6 janvier 1995 relative à la distribution en gros des médicaments - Fournisseurs et distributeurs d'eaux destinées à la consommation humaine au sens de l'article 2, point 1, lettre a), de la loi du 23 décembre 2022 relative à la qualité des eaux destinées à la consommation humaine, à l'exclusion des distributeurs pour lesquels la distribution d'eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d'autres produits et biens - Entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées au sens de l'article 2, points 1,2 et 3, du règlement grandducal modifié du 13 mai 1994 relatif au traitement des eaux urbaines résiduaires, à l'exclusion des entreprises pour lesquelles la collecte, l'évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale - Fournisseurs de points d'échange internet au sens de l'article 6, point 18, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le 6. Eau potable 7. Eaux résiduaires 8. Infrastructures numériques 22 règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 Fournisseurs de services DNS au sens de l'article 6, point 20, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148, à l'exclusion des opérateurs de serveurs racines de noms de domaines Registres de noms de domaines de premier niveau au sens de l'article 6, point 21, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 Fournisseurs de services d'informatique en nuage au sens de l'article 6, point 30, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 Fournisseurs de services de centre de données au sens de l'article 6, point 31, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans 23 - - - - 9. Administration publique 10. Espace - 24 l'ensemble de l'Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 Fournisseurs de réseaux de diffusion de contenu au sens de l'article 6, point 32, de la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l'ensemble de l'Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 Prestataires de services de confiance au sens de l'article 3, point 19, du règlement (UE) no 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE Fournisseurs de réseaux de communications électroniques publics au sens de l'article 2, point 8, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques services de Fournisseurs de communications électroniques au sens de l'article 2, point 4, de la loi du 17 décembre 2021 sur les réseaux et les services de communications dans la mesure où leurs services sont accessibles au public Entité de l'administration publique telle que définie à l'article 2, point 9 Exploitants d'infrastructures au sol, détenues, gérées et exploitées par des États membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l'exclusion des de réseaux fournisseurs de électroniques communications publics au sens de l'article 2, point 8, de la loi du 17 décembre 2021 sur les réseaux et les services de communications - Entreprises du secteur alimentaire au sens de l'article 3, point 2, du règlement (CE) no 178/2002 du Parlement européen et du Conseil du 28 janvier 2002 établissant les principes généraux et les prescriptions générales de la législation alimentaire, instituant l'Autorité européenne de sécurité des aliments et fixant des procédures relatives à la sécurité des denrées alimentaires, qui exercent exclusivement des activités de logistique et de distribution en gros ainsi que de production et de transformation industrielles à grande échelle - Entreprises impliquée dans la gestion des déchets au sens de l'article 4, point 22, de la loi modifiée du 21 mars 2012 relative aux déchets 11. Production, transformation et distribution de denrées alimentaires 12. Gestion déchets des 25 Exposé des motifs Le projet de loi se propose de transposer la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (Critical Entities Resilience Directive, ci-après «directive CER »). Le but primaire de la directive et du projet de loi y afférent est la protection des entités critiques, c'est-à-dire des entités qui assurent un service qui est indispensable pour assurer des fonctions sociétales ou des activités économiques vitales, dénommé « service essentiel ». Ces entités sont critiques dans un double sens. D'une part, ces entités et les services essentiels qu'elles fournissent sont en eux-mêmes cruciaux pour nos …

🔗 Vers la source officielle

Explication IA à partir du texte officiel de la loi. Indicatif, ne remplace pas un conseil juridique.