Loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant
1° | la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et |
2° | la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale. |
Chapitre 1er
— Définitions et champ d’applicationChapitre 2
— Autorités compétentes concernées et point de contact national uniqueChapitre 3
— Opérateurs de services essentielsChapitre 4
— Fournisseurs de service numériqueChapitre 5
— Notification volontaireChapitre 6
— SanctionsChapitre 7
— Dispositions modificatives« Chapitre 4bis
— La stratégie nationale en matière de sécurité des réseaux et des systèmes d’informationNous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Notre Conseil d’État entendu ;
De l’assentiment de la Chambre des Députés ;
Vu la décision de la Chambre des députés du 15 mai 2019 et celle du Conseil d’État du 21 mai 2019 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Chapitre 1er
-Définitions et champ d’applicationArt. 1er.
(1)
Les exigences en matière de sécurité et de notification prévues par la présente loi ne s’appliquent pas aux entreprises soumises aux exigences énoncées aux articles 45 et 46 de la loi modifiée du 27 février 2011 sur les réseaux et les services de communications électroniques ni aux prestataires de services de confiance soumis aux exigences à l’article 19 du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE.(2)
Lorsqu’une loi ou un acte juridique sectoriel de l’Union exige des opérateurs de services essentiels ou des fournisseurs de service numérique qu’ils assurent la sécurité de leurs réseaux et systèmes d’information ou qu’ils procèdent à la notification des incidents, à condition que les exigences en question aient un effet au moins équivalent à celui des obligations prévues par la présente loi, les dispositions de cette loi ou de cet acte juridique sectoriel de l’Union s’appliquent.Art. 2.
Pour l’application de la présente loi, on entend par :
1° | « Réseau et système d’information » :
| ||||||
2° | « Sécurité des réseaux et des systèmes d’information » : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ; | ||||||
3° | « Opérateur de services essentiels » : une entité publique ou privée dont le type figure en annexe et qui répond aux critères énoncés à l’article 7, paragraphe 2 ; | ||||||
4° | « Service numérique » : un service au sens de l’article 1er, paragraphe 1er, lettre b), de la loi du 8 novembre 2016 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information du type « place de marché en ligne », « moteur de recherche en ligne » ou « service d’informatique en nuage » ; | ||||||
5° | « Fournisseur de service numérique » : une personne morale qui fournit un service numérique ; | ||||||
6° | « Incident » : tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ; | ||||||
7° | « Gestion d’incident » : toutes les procédures utiles à la détection, à l’analyse et au confinement d’un incident et toutes les procédures utiles à l’intervention en cas d’incident ; | ||||||
8° | « Risque » : toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d’information ; | ||||||
9° | « Représentant » : une personne physique ou morale établie dans l’Union européenne qui est expressément désignée pour agir pour le compte d’un fournisseur de service numérique non établi dans l’Union européenne ; | ||||||
10° | « Norme » : une norme au sens de l’article 2, point 1, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil ; | ||||||
11° | « Spécification » : une spécification technique au sens de l’article 2, point 4, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil ; | ||||||
12° | « Point d’échange internet », ci-après « IXP » : une structure de réseau qui permet l’interconnexion de plus de deux systèmes autonomes indépendants, essentiellement aux fins de faciliter l’échange de trafic internet ; un IXP n’assure l’interconnexion que pour des systèmes autonomes ; un IXP n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic ; | ||||||
13° | « Système de noms de domaine », ci-après « DNS » : un système hiérarchique et distribué d’affectation de noms dans un réseau qui résout les questions liées aux noms de domaines ; | ||||||
14° | « Fournisseur de services DNS » : une entité qui fournit des services DNS sur l’internet ; | ||||||
15° | « Registre de noms de domaine de haut niveau » : une entité qui administre et gère l’enregistrement de noms de domaine internet dans un domaine de haut niveau donné ; | ||||||
16° | « Place de marché en ligne » : un service numérique qui permet à des consommateurs ou à des professionnels au sens de l’article L. 010-1, point 1 ou point 2 respectivement, du Code de la consommation de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ; | ||||||
17° | « Moteur de recherche en ligne » : un service numérique qui permet aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ; | ||||||
18° | « Service informatique en nuage » : un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ; | ||||||
19° | « CERT Gouvernemental » : Centre de traitement des urgences informatiques, tel que défini à l’arrêté grand-ducal du 9 mai 2018 déterminant l’organisation et les attributions du Centre de traitement des urgences informatiques, dénommé « CERT Gouvernemental » ; | ||||||
20° | « CIRCL » : Computer Incident Response Center Luxembourg, opéré par le groupement d’intérêt économique Security Made in Lëtzebuerg ; | ||||||
21° | « CSIRT » : centre de réponse aux incidents de sécurité informatiques ; | ||||||
22° | « Groupe de coopération » : groupe institué aux fins de soutenir et de faciliter la coopération stratégique et l’échange d’informations entre les États membres et de renforcer la confiance, et de parvenir à un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne ; | ||||||
23° | « Réseau des CSIRT » : groupe institué aux fins de contribuer au renforcement de la confiance entre les États membres et de promouvoir une coopération opérationnelle rapide et effective ; | ||||||
24° | « Point de contact national unique » : autorité qui exerce une fonction de liaison pour assurer une coopération transfrontalière entre les autorités des États membres, ainsi qu’avec les autorités concernées des autres États membres, le groupe de coopération et le réseau des CSIRT. |
Chapitre 2
-Autorités compétentes concernées et point de contact national uniqueArt. 3.
La Commission de surveillance du secteur financier, ci-après « la CSSF », est l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information couvrant les secteurs des établissements de crédit et des infrastructures de marchés financiers tels que définis aux points 3 et 4 de l’annexe, ainsi que les services numériques fournis par une entité tombant sous la surveillance de la CSSF.
L’Institut luxembourgeois de régulation, ci-après « l’ILR », est l’autorité compétente en matière de sécurité des réseaux et des systèmes d’information couvrant les autres secteurs visés en annexe, ainsi que les services numériques fournis par une entité pour laquelle la CSSF n’est pas l’autorité compétente.
L’obligation au secret professionnel prévue par l’article 16 de la loi modifiée du 23 décembre 1998 portant création d’une commission de surveillance du secteur financier et l’article 15 de la loi modifiée du 30 mai 2005 portant : 1) organisation de l’Institut Luxembourgeois de Régulation ; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’État ne fait pas obstacle à l’échange d’informations entre autorités compétentes.
Art. 4.
L’ILR constitue le point de contact national unique en matière de sécurité des réseaux et des systèmes d’information.
Art. 5.
L’ILR bénéficie d’une contribution financière à charge du budget de l’État afin de couvrir l’intégralité des frais de fonctionnement qui résultent de l’exercice des missions prévues par la présente loi.
Art. 6.
Dans la mesure nécessaire à l’accomplissement de leur mission en vertu de la présente loi, les autorités compétentes et le point de contact national unique consultent les services répressifs nationaux compétents et les autorités nationales chargées de la protection des données et coopèrent avec eux.
L’obligation au secret professionnel prévue par l’article 16 de la loi modifiée du 23 décembre 1998 portant création d’une Commission de surveillance du secteur financier et l’article 15 de la loi modifiée du 30 mai 2005 portant : 1) organisation de l’Institut Luxembourgeois de Régulation ; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’État ne fait pas obstacle à cette coopération.
Chapitre 3
-Opérateurs de services essentielsArt. 7.
(1)
Tombent sous le champ d’application de la présente loi, les opérateurs de services essentiels ayant un établissement sur le territoire luxembourgeois.(2)
L’identification des opérateurs de services essentiels par l’autorité compétente concernée se fait au moyen des critères d’identification suivants :1° | une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ; |
2° | la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et |
3° | un incident aurait un effet disruptif important sur la fourniture dudit service. |
L’autorité compétente concernée notifie la décision d’identification à l’opérateur de services essentiels.
(3)
L’importance de l’effet disruptif visé au paragraphe 2, point 3, est déterminée sur base de facteurs transsectoriels et sectoriels, dont au moins :1° | le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ; |
2° | la dépendance des autres secteurs visés en annexe à l’égard du service fourni par cette entité ; |
3° | les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ; |
4° | la part de marché de cette entité ; |
5° | la portée géographique eu égard à la zone susceptible d’être touchée par un incident ; |
6° | l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service. |
(4)
La liste des services essentiels est fixée par l’autorité compétente concernée par voie de règlement.(5)
Lorsqu’une entité fournit un service visé au paragraphe 2, point 1, dans un autre État membre, l’autorité compétente concernée consulte l’autorité compétente de l’autre État membre. La consultation intervient avant que l’identification ne fasse l’objet d’une décision.Art. 8.
(1)
Les opérateurs de services essentiels prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent dans le cadre de leurs activités. Ces mesures garantissent, pour les réseaux et les systèmes d’information, un niveau de sécurité adapté au risque existant, compte tenu de l’état des connaissances. Afin d’identifier les risques, les opérateurs de services essentiels utilisent un cadre d’analyse de risques approprié pouvant être précisé par l’autorité compétente concernée par voie de règlement.(2)
Les opérateurs de services essentiels prennent des mesures appropriées en vue de prévenir les incidents qui compromettent la sécurité des réseaux et des systèmes d’information utilisés pour la fourniture de ces services essentiels ou d’en limiter l’impact, en vue d’assurer la continuité de ces services.(3)
Les mesures prises sur base des paragraphes 1er et 2 sont notifiées à l’autorité compétente concernée. Les modalités de cette notification, le format et le délai, sont déterminées par l’autorité compétente concernée par voie de règlement.(4)
Les opérateurs de services essentiels notifient à l’autorité compétente concernée, sans retard injustifié, les incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent. Ces notifications sont transmises au CERT Gouvernemental et au CIRCL en fonction de leurs compétences respectives. Les notifications contiennent des informations permettant à l’autorité compétente concernée de déterminer si l’incident a un impact au niveau transfrontalier. Cette notification n’accroît pas la responsabilité de la partie qui en est à l’origine.(5)
L’ampleur de l’impact d’un incident est déterminée en tenant compte, en particulier, des paramètres suivants :1° | le nombre d’utilisateurs touchés par la perturbation du service essentiel ; |
2° | la durée de l’incident ; |
3° | la portée géographique eu égard à la zone touchée par l’incident. |
L’autorité compétente concernée peut préciser, par voie de règlement, les paramètres, les modalités et délais des notifications des incidents qui ont un impact significatif sur la continuité des services essentiels qu’ils fournissent.
(6)
Sur la base des informations fournies dans la notification de l’opérateur de services essentiels, l’autorité compétente concernée signale aux autres États membres touchés si l’incident est susceptible d’avoir un impact significatif sur la continuité des services essentiels dans ces États membres. Sur demande de l’autorité compétente concernée, ce signalement est effectué par le point de contact national unique qui transmettra la notification aux points de contact nationaux des autres États membres touchés. Ce faisant, l’autorité compétente concernée doit préserver la sécurité et les intérêts commerciaux de l’opérateur de services essentiels ainsi que la confidentialité des informations communiquées dans sa notification.Lorsque les circonstances le permettent, l’autorité compétente concernée fournit à l’opérateur de services essentiels qui est à l’origine de la notification des informations utiles au suivi de sa notification.
(7)
Une fois par an, l’autorité compétente concernée transmet au point de contact national unique un rapport de synthèse sur les notifications reçues, y compris le nombre de notifications et la nature des incidents notifiés, ainsi que sur les mesures prises conformément aux paragraphes 4 et 6.Tous les ans, le point de contact national unique transmet au groupe de coopération un rapport de synthèse sur les notifications reçues, y compris le nombre de notifications et la nature des incidents notifiés, ainsi que sur les mesures prises conformément aux paragraphes 4 et 6.
(8)
Après avoir consulté l’opérateur de services essentiels qui est à l’origine de la notification, l’autorité compétente concernée peut informer le public d’incidents particuliers ou imposer à l’opérateur de services essentiels de le faire, lorsque la sensibilisation du public est nécessaire pour prévenir un incident ou gérer un incident en cours, ou lorsque la divulgation de l’incident est dans l’intérêt public à d’autres égards.Art. 9.
(1)
À la demande de l’autorité compétente concernée, les opérateurs de services essentiels lui fournissent :1° | les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d’information, y compris les documents relatifs à leurs politiques de sécurité ; |
2° | des éléments prouvant la mise en œuvre effective des politiques de sécurité, tels que les résultats d’un audit de sécurité exécuté par l’autorité compétente concernée ou un auditeur qualifié et, dans ce dernier cas, qu’ils en mettent les résultats, y compris les éléments probants, à la disposition de l’autorité compétente concernée. L’autorité compétente concernée peut charger un auditeur externe de contrôler la mise en œuvre effective de la politique de sécurité à charge de l’opérateur de services essentiels ; |
3° | toute information nécessaire à l’accomplissement de ses missions en vertu de la présente loi. |
Les opérateurs de services essentiels fournissent ces informations en respectant les délais et le niveau de détail exigés par l’autorité compétente concernée.
Au moment de formuler une telle demande d’informations et de preuves, l’autorité compétente concernée mentionne la finalité de la demande et précise quelles sont les informations exigées.
(2)
Après évaluation des informations ou des résultats des audits de sécurité visés au paragraphe 1er, l’autorité compétente concernée peut donner des instructions contraignantes aux opérateurs de services essentiels pour remédier aux défaillances identifiées.(3)
Pour traiter des incidents notifiés donnant lieu à des violations des données à caractère personnel, l’autorité compétente concernée coopère étroitement avec la Commission nationale pour la protection des données et lui transmet les informations en relation avec ces violations.Chapitre 4
-Fournisseurs de service numériqueArt. 10.
(1)
Tombent dans le champ d’application de la présente loi, les fournisseurs de service numérique ayant leur établissement principal au Grand-Duché de Luxembourg. Un fournisseur de service numérique est réputé avoir son établissement principal au Grand-Duché de Luxembourg lorsque son siège social se trouve au Grand-Duché de Luxembourg. Le fournisseur de service numérique qui n’est pas établi dans l’Union européenne mais qui fournit un service numérique sur le territoire du Grand-Duché de Luxembourg et qui désigne un représentant au Grand-Duché de Luxembourg, relève de la compétence des autorités luxembourgeoises.Le représentant peut être contacté par l’autorité compétente concernée à la place du fournisseur de service numérique concernant les obligations incombant audit fournisseur de service numérique en vertu de la présente loi.
La désignation d’un représentant par le fournisseur de service numérique est sans préjudice d’actions en justice qui pourraient être intentées contre le fournisseur de service numérique lui-même.
(2)
Le chapitre 4 ne s’applique pas aux microentreprises et petites entreprises telles que définies dans la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises.Art. 11.
(1)
Les fournisseurs de service numérique identifient les risques qui menacent la sécurité des réseaux et des systèmes d’information qu’ils utilisent pour offrir, dans l’Union européenne, un service numérique et prennent les mesures techniques et organisationnelles nécessaires et proportionnées pour les gérer. Ces mesures garantissent, compte tenu de l’état des connaissances, un niveau de sécurité des réseaux et des systèmes d’information adapté au risque existant et prennent en considération les éléments suivants :1° | la sécurité des systèmes et des installations ; |
2° | la gestion des incidents ; |
3° | la gestion de la continuité des activités ; |
4° | le suivi, l’audit et le contrôle ; |
5° | le respect des normes internationales. |
La gestion des risques qui menacent la sécurité des réseaux et des systèmes d’information des fournisseurs de service numérique se fait conformément au règlement d’exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
(2)
Les fournisseurs de service numérique prennent des mesures pour éviter les incidents portant atteinte à la sécurité de leurs réseaux et systèmes d’information, et réduire au minimum l’impact de ces incidents sur les services numériques qui sont offerts dans l’Union européenne, de manière à garantir la continuité de ces services.(3)
Les fournisseurs de service numérique notifient à l’autorité compétente concernée, sans retard injustifié, tout incident ayant un impact significatif sur la fourniture d’un service numérique qu’ils offrent dans l’Union européenne. Les modalités de cette notification, le format et le délai, sont déterminés par l’autorité compétente concernée par voie de règlement. Ces notifications sont transmises au CERT Gouvernemental et au CIRCL en fonction de leurs compétences respectives. Les notifications contiennent des informations permettant à l’autorité compétente concernée d’évaluer l’ampleur de l’éventuel impact au niveau transfrontalier. Cette notification n’accroît pas la responsabilité de la partie qui en est à l’origine.(4)
L’importance de l’impact d’un incident est déterminée en tenant compte, en particulier, des paramètres suivants :1° | le nombre d’utilisateurs touchés par l’incident, en particulier ceux qui recourent au service pour la fourniture de leurs propres services ; |
2° | la durée de l’incident ; |
3° | la portée géographique eu égard à la zone touchée par l’incident ; |
4° | la gravité de la perturbation du fonctionnement du service ; |
5° | l’ampleur de l’impact sur les fonctions économiques et sociétales. |
L’obligation de notifier un incident ne s’applique que lorsque le fournisseur de service numérique a accès aux informations nécessaires pour évaluer l’impact de l’incident eu égard aux paramètres visés au premier alinéa.
Les paramètres permettant de déterminer si un incident a un impact significatif sont précisés par le règlement d’exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de service numérique pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.
(5)
Lorsqu’un opérateur de services essentiels s’appuie sur un tiers fournisseur de service numérique pour la prestation d’un service essentiel au maintien de fonctions sociétales et économiques critiques, tout impact significatif sur la continuité des services essentiels en raison d’un incident touchant le fournisseur de service numérique est notifié par ledit opérateur.(6)
Lorsque l’incident visé au paragraphe 3 concerne deux États membres ou plus, l’autorité compétente concernée peut informer les autres États membres touchés. Ce faisant, l’autorité compétente concernée doit préserver la sécurité et les intérêts commerciaux du fournisseur de service numérique ainsi que la confidentialité des informations communiquées.(7)
Une fois par an, l’autorité compétente concernée transmet au point de contact national unique un rapport de synthèse sur les notifications reçues, y compris le nombre de notifications et la nature des incidents notifiés, ainsi que sur les mesures prises conformément aux paragraphes 3 et 6.Tous les ans, le point de contact national unique transmet au groupe de coopération un rapport de synthèse sur les notifications reçues, y compris le nombre de notifications et la nature des incidents notifiés, ainsi que sur les mesures prises conformément aux paragraphes 3 et 6.
(8)
Après avoir consulté le fournisseur de service numérique concerné, l’autorité compétente concernée, et les autorités ou les CSIRT des autres États membres concernés peuvent informer le public d’incidents particuliers ou imposer au fournisseur de service numérique de le faire, dans le cas où la sensibilisation du public est nécessaire pour prévenir un incident ou pour gérer un incident en cours, ou lorsque la divulgation de l’incident est dans l’intérêt public à d’autres égards.Art. 12.
(1)
L’autorité compétente concernée peut imposer aux fournisseurs de service numérique :1° | de lui communiquer les informations nécessaires pour évaluer la sécurité de leurs réseaux et systèmes d’information, y compris les documents relatifs à leurs politiques de sécurité ; |
2° | de corriger tout manquement aux obligations fixées à l’article 11 ; |
3° | de lui communiquer toute information nécessaire à l’accomplissement de ses missions en vertu de la présente loi. |
(2)
Si un fournisseur de service numérique a son établissement principal ou un représentant au Grand-Duché de Luxembourg alors que ses réseaux et systèmes d’information sont situés dans un ou plusieurs autres États membres, les autorités compétentes concernées luxembourgeoises et les autorités compétentes de ces autres États membres coopèrent étroitement et se prêtent mutuellement assistance dans la mesure nécessaire à l’application de la présente loi.L’obligation au secret professionnel prévue par l’article 16 de la loi modifiée du 23 décembre 1998 portant création d’une Commission de surveillance du secteur financier et l’article 15 de la loi modifiée du 30 mai 2005 portant : 1) organisation de l’Institut Luxembourgeois de Régulation ; 2) modification de la loi modifiée du 22 juin 1963 fixant le régime des traitements des fonctionnaires de l’État ne fait pas obstacle à cette coopération.
Chapitre 5
-Notification volontaireArt. 13.
(1)
Les entités qui n’ont pas été identifiées en tant qu’opérateurs de services essentiels et qui ne sont pas des fournisseurs de service numérique peuvent notifier, à titre volontaire, les incidents ayant un impact significatif sur la continuité des services qu’elles fournissent.(2)
Lorsqu’elle traite des notifications, l’autorité compétente concernée agit conformément à la procédure énoncée à l’article 8. L’autorité compétente concernée peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Les notifications volontaires ne sont traitées que lorsque leur traitement ne fait pas peser de charge disproportionnée ou inutile sur l’autorité compétente concernée.Une notification volontaire n’a pas pour effet d’imposer à l’entité qui est à l’origine de la notification des obligations auxquelles elle n’aurait pas été soumise en vertu de la présente loi si elle n’avait pas procédé à ladite notification.
Chapitre 6
-SanctionsArt. 14.
(1)
Lorsque l’autorité compétente concernée constate une violation des obligations prévues par les articles 8, 9, 11 et 12 ou par des mesures prises en exécution de la présente loi, elle peut frapper l’opérateur de services essentiels ou le fournisseur de service numérique concerné d’une ou de plusieurs des sanctions suivantes :1° | un avertissement ; |
2° | un blâme ; |
3° | une amende d’ordre, dont le montant est proportionné à la gravité du manquement, à la situation de l’intéressé, à l’ampleur du dommage et aux avantages qui en sont tirés sans pouvoir excéder 125 000 euros. |
L’amende ne peut être prononcée que pour autant que les manquements visés ne fassent pas l’objet d’une sanction pénale.
(2)
En cas de constatation d’un fait susceptible de constituer un manquement visé au paragraphe 1er, l’autorité compétente concernée engage une procédure contradictoire dans laquelle l’opérateur de services essentiels ou le fournisseur de service numérique concerné a la possibilité de consulter le dossier et de présenter ses observations écrites ou verbales. L’opérateur de services essentiels ou le fournisseur de service numérique concerné peut se faire assister ou représenter par une personne de son choix. À l’issue de la procédure contradictoire, l’autorité compétente concernée peut prononcer à l’encontre de l’opérateur de services essentiels ou du fournisseur de service numérique concerné une ou plusieurs des sanctions visées au paragraphe 1er.(3)
Les décisions prises par l’autorité compétente concernée à l’issue de la procédure contradictoire sont motivées et notifiées à l’opérateur de services essentiels ou au fournisseur de service numérique concerné.(4)
Contre les décisions visées au paragraphe 3 un recours en réformation est ouvert devant le tribunal administratif.(5)
La perception des amendes d’ordre prononcées par l’ILR est confiée à l’Administration de l’enregistrement, des domaines et de la TVA.Chapitre 7
-Dispositions modificativesArt. 15.
À l’article 2, lettre y), de la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État, le point final est remplacé par un point-virgule et l’article 2 de la même loi est complété comme suit :
| ||||
Art. 16.
La loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale est modifiée comme suit :
1° | À l’article 2, point 4, le point final est remplacé par un point-virgule et il est inséré à la suite du point 4 un nouveau point 5, libellé comme suit :
| |||||||||||||||||||||
2° | À l’article 3, paragraphe 1er, lettre b), il est ajouté un point 4, libellé comme suit :
| |||||||||||||||||||||
3° | À l’article 8, paragraphe 1er, les termes sont remplacés par les termes ; | |||||||||||||||||||||
4° | Après l’article 9, il est inséré un nouveau chapitre 4bis, libellé comme suit :
|
Mandons et ordonnons que la présente loi soit insérée au Journal officiel du Grand-Duché de Luxembourg pour être exécutée et observée par tous ceux que la chose concerne.
Le Premier Ministre, Xavier Bettel Le Ministre des Finances, Pierre Gramegna | Palais de Luxembourg, le 28 mai 2019. Henri |
Doc. parl. 7314 ; sess. ord. 2017-2018 et 2018-2019 ; Dir. (UE) 2016/1148. |