Règlement grand-ducal du 12 mars 2012 portant application de la directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection.

Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,

Vu la loi modifiée du 9 août 1971 concernant l’exécution et la sanction des décisions et des directives ainsi que la sanction des règlements des Communautés européennes en matière économique, technique, agricole, forestière, sociale et en matière des transports;

Vu la directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection;

Notre Conseil d’Etat entendu;

Vu les avis de la Chambre de Commerce et de la Chambre des Métiers;

Notre Conseil d’Etat entendu;

De l’assentiment de la Conférence des présidents de la Chambre des députés;

Sur le rapport de Notre Premier Ministre, Ministre d’Etat, de Notre Ministre de l’Economie et du Commerce extérieur et de Notre Ministre du Développement durable et des Infrastructures et après délibération du Gouvernement en Conseil;

Arrêtons:

Art. 1er. Objet

Le règlement grand-ducal a pour objet d’établir une procédure de recensement et de désignation des infrastructures critiques européennes, ci-après dénommées «ICE».

Art. 2. Champ d’application

Le règlement grand-ducal s’applique aux secteurs de l’énergie et des transports avec leurs sous-secteurs respectifs définis à l’annexe I.

Art. 3. Définitions

Aux fins du présent règlement grand-ducal, on entend par:

a)«infrastructure critique»: un point, système ou partie de celui-ci, situé dans les Etats membres de l’Union européenne, qui est indispensable au maintien des fonctions vitales de la société, de la santé, de la sûreté, de la sécurité et du bien-être économique ou social des citoyens, et dont l’arrêt ou la destruction aurait un impact significatif dans un Etat membre du fait de la défaillance de ces fonctions;
b)«infrastructure critique européenne» ou «ICE»: une infrastructure critique située dans les Etats membres de l’Union européenne dont l’arrêt ou la destruction aurait un impact considérable sur deux Etats membres au moins. L’importance de cet impact est évaluée en termes de critères intersectoriels. Cela inclut les effets résultant des dépendances intersectorielles par rapport à d’autres types d’infrastructures;
c)«analyse de risques»: examen des scénarios de menace pertinents destiné à évaluer les vulnérabilités d’infrastructures critiques et les impacts potentiels de leur arrêt ou destruction;
d)«informations sensibles relatives à la protection des infrastructures critiques»: les informations sur une infrastructure critique qui, en cas de divulgation, pourraient être utilisées pour planifier et mettre en œuvre des actions visant à provoquer l’arrêt ou la destruction d’installations d’infrastructures critiques;
e)«protection»: l’ensemble des activités visant à garantir le bon fonctionnement, la continuité et l’intégrité d’une infrastructure critique afin de prévenir, d’atténuer ou de neutraliser une menace, un risque ou une vulnérabilité;
f)«propriétaires ou opérateurs d’infrastructures critiques européennes»: les entités responsables des investissements relatifs à ou de la gestion quotidienne d’un point, d’un système ou d’une partie de celui-ci, désigné comme ICE;
g)«critères intersectoriels»: le nombre de victimes (nombre potentiel de morts ou de blessés); l’incidence économique (ampleur des pertes économiques et/ou de la dégradation de produits ou de services, y compris l’incidence potentielle sur l’environnement); l’incidence sur la population (incidence sur la confiance de la population, souffrances physiques et perturbation de la vie quotidienne, y compris disparition de services essentiels). Les seuils des critères intersectoriels sont fondés sur la gravité de l’impact de l’arrêt ou de la destruction d’une infrastructure donnée;
h)«critères sectoriels»: critères techniques ou fonctionnels qui tiennent compte des caractéristiques des différents secteurs.

Art. 4. Recensement et désignation des ICE

(1)

Sur le plan national, le Haut-Commissariat à la Protection nationale (HCPN), placé sous l’autorité du Premier Ministre, Ministre d’Etat, est l’autorité compétente et le point de contact en matière de protection des ICE. Dans l’accomplissement de cette fonction, le HCPN a pour missions, en collaboration avec les ministères, administrations et services ayant dans leurs attributions les secteurs définis à l’article 2:

a)de coordonner les questions liées à la protection des ICE sur le plan national ainsi qu’avec les autres Etats membres et la Commission européenne;
b)de procéder en permanence au recensement des ICE potentielles qui satisfont à la fois aux critères intersectoriels et sectoriels conformément à la procédure définie à l’annexe II et en prenant en considération les lignes directrices non contraignantes élaborées par la Commission européenne au sujet de l’application des critères intersectoriels et sectoriels et des seuils à utiliser pour recenser des ICE;
c)de soumettre toute modification de la liste des ICE potentielles au ministre en charge du secteur respectif pour avis;
d)d’informer les points de contact des Etats membres susceptibles d’être affectés considérablement par une ICE potentielle de l’existence de cette infrastructure et des raisons de sa désignation en tant qu’ICE potentielle, et d’engager des discussions bilatérales ou multilatérales avec les autorités compétentes de ces Etats membres;
e)de procéder à la désignation d’une ICE potentielle située sur le territoire national en tant qu’ICE, après accord, dans un premier temps, du ministre en charge du secteur respectif et, dans un deuxième temps, des Etats membres qui sont susceptibles d’être affectés considérablement par l’infrastructure;
f)d’informer le propriétaire ou opérateur de l’infrastructure critique de la désignation de celle-ci comme ICE;
g)d’informer une fois par an la Commission européenne du nombre d’ICE désignés comme telles par secteur et du nombre d’Etats membres concernés par chacune d’entre elles;
h)de réaliser une évaluation de la menace pesant sur les sous-secteurs d’ICE dans un délai d’un an à compter de la désignation d’une infrastructure critique située sur le territoire national comme ICE au sein de ces soussecteurs et de présenter à la Commission européenne tous les deux ans un rapport sur les types de vulnérabilités, de menaces et de risques rencontrés dans chacun des secteurs d’ICE comptant une ICE désignée comme telle et située sur le territoire national;
i)de protéger la confidentialité des informations sensibles relatives à la désignation d’une ICE en conférant à ces informations un niveau de classification approprié.
(2)Lorsque des dispositions en matière de vérification ou de surveillance sont déjà applicables à une ICE, ces dispositions ne sont pas affectées par le présent article.

Art. 5. Plans de sécurité d’opérateur

Le propriétaire ou opérateur d’une infrastructure classée comme ICE est tenu d’élaborer un plan de sécurité d’opérateur ou des mesures équivalentes suivant les dispositions de l’annexe III. Le plan de sécurité recense les mesures de sécurité appliquées ou en cours de mise en œuvre pour la protection d’une ICE.

L’autorité compétente vérifie que chaque propriétaire ou opérateur d’une infrastructure classée comme ICE a mis en place un plan de sécurité d’opérateur ou des mesures équivalentes. Dans un délai d’un an à compter de la désignation de l’infrastructure critique comme ICE ou un autre délai approuvé par l’autorité compétente et notifié à la Commission européenne le plan de sécurité d’opérateur fait l’objet d’un réexamen. Le propriétaire ou opérateur d’une infrastructure classée comme ICE procède à une mise à jour régulière du plan de sécurité d’opérateur.

Dès lors que des mesures, y compris des mesures communautaires, qui, dans un secteur déterminé, exigent l’existence d’un PSO ou de plans équivalents sont respectées, toutes les obligations incombant aux propriétaires ou opérateurs d’une ICE prévues par le présent article sont également réputées respectées et aucune autre mesure d’exécution n’est nécessaire.

Art. 6. Correspondants pour la sécurité

Le propriétaire ou opérateur d’une infrastructure classée comme ICE est tenu de désigner un correspondant pour la sécurité qui exerce la fonction de point de contact pour les questions liées à la sécurité de l’ICE avec l’autorité compétente.

L’autorité compétente vérifie que chaque infrastructure classée comme ICE s’est dotée d’un correspondant pour la sécurité ou d’une personne occupant un poste équivalent.

L’autorité compétente met en place un mécanisme de communication approprié avec le correspondant pour la sécurité ou la personne occupant un poste équivalent dans le but d’échanger des informations utiles concernant les risques et les menaces identifiés qui pèsent sur l’ICE concernée.

Dès lors que des mesures, y compris des mesures communautaires, qui, dans un secteur déterminé, exigent la présence d’un correspondant pour la sécurité ou d’un poste équivalent, sont respectées, toutes les obligations incombant aux propriétaires ou opérateurs d’une ICE prévues par le présent article sont également réputées respectées et aucune autre mesure d’exécution n’est nécessaire.

Art. 7. Exécution

Notre Premier Ministre, Ministre d’Etat, et Nos Ministres ayant dans leurs attributions l’Energie et les Transports sont chargés, chacun en ce qui le concerne, de l’exécution du présent règlement qui sera publié au Mémorial.

Le Premier Ministre,

Ministre d’Etat,

Jean-Claude Juncker

Le Ministre de l’Économie et
du Commerce extérieur,

Etienne Schneider

Le Ministre du Développement durable
et des Infrastructures,

Claude Wiseler

Cayo Santa Maria, le 12 mars 2012.

Henri,

Doc. parl. 6281; sess. ord. 2010-2011 et 2011-2012; Dir. 2008/114/CE.

ANNEXE I

Liste des secteurs d’ICE

Secteurs

Sous-secteurs

I. Energie
1.

Electricité                                       

Infrastructures et installations permettant

la production et le transport d’électricité, en

ce qui concerne la fourniture d’électricité
2.

Pétrole                                               

Production pétrolière, raffinage, traitement,

stockage et distribution par oléoducs
3.

Gaz                                             

Production gazière, raffinage, traitement,

stockage et distribution par gazoducs;

Terminaux gaz naturel liquéfié

II. Transports
4.

Transports par route

5.Transport ferroviaire
6.Transport aérien
7.Navigation intérieure
8.Transport hauturier et transport maritime à courte distance (cabotage) et ports

ANNEXE II

Procédure applicable en ce qui concerne le recensement des infrastructures
critiques pouvant être désignées en tant qu’ICE

Aux fins de recenser les ICE potentielles et de les désigner en tant qu’ICE par la suite, la procédure ci-après est appliquée par le Haut-Commissariat à la Protection nationale en concertation avec les départements ministériels sectoriellement compétents.

L’ICE potentielle qui ne satisfait pas aux exigences de l’une des étapes successives ci-après est considérée comme «non ICE» et est exclue de la procédure. L’ICE potentielle qui répond aux définitions est soumise aux étapes consécutives suivantes de la présente procédure.

Etape 1

Appliquer les critères sectoriels afin d’opérer une première sélection parmi les infrastructures critiques existant au sein d’un secteur.

Etape 2

Appliquer la définition des infrastructures critiques visée à l’article 3, point a), à l’ICE potentielle recensée lors de l’étape 1.

La gravité de l’impact sera déterminée par application des méthodes nationales de recensement des infrastructures critiques ou sur la base des critères intersectoriels. En ce qui concerne les infrastructures qui offrent un service essentiel, il sera tenu compte de l’existence de solutions de remplacement ainsi que de la durée de l’arrêt/de la reprise d’activité.

Etape 3

Appliquer l’élément transfrontalier de la définition d’ICE visée à l’article 3, point b), à l’ICE potentielle qui a franchi les deux premières étapes de la procédure. Si l’ICE potentielle répond à la définition, elle est soumise à l’étape suivante de la procédure. En ce qui concerne les infrastructures qui offrent un service essentiel, il sera tenu compte de l’existence de solutions de remplacement ainsi que de la durée de l’arrêt/de la reprise d’activité.

Etape 4

Appliquer les critères intersectoriels aux ICE potentielles restantes. Les critères intersectoriels tiennent compte des éléments suivants: la gravité de l’impact et, pour les infrastructures qui offrent un service essentiel, l’existence de solutions de remplacement, ainsi que la durée de l’arrêt/de la reprise d’activité. Les ICE potentielles qui ne répondent pas aux critères intersectoriels ne seront pas considérées comme étant des ICE.

L’identification des ICE potentielles qui franchissent toutes les étapes de cette procédure n’est communiquée qu’aux Etats membres de l’Union européenne susceptibles d’être affectés considérablement par lesdites infrastructures.

ANNEXE III

Procédure d’élaboration du PSO ICE

Le PSO recense les points de l’infrastructure critique, ainsi que les mesures de sécurité appliquées ou en cours de mise en œuvre pour leur protection. La procédure d’élaboration du PSO ICE comprendra au moins:

1.le recensement des points d’infrastructure importants;
2.la conduite d’une analyse de risques fondée sur les principaux scénarios de menace, les vulnérabilités de chaque point d’infrastructure et les impacts potentiels, et
3. l’identification, la sélection et la désignation par ordre de priorité des contre-mesures et des procédures en établissant une distinction entre:
- les mesures de sécurité permanentes, qui précisent les investissements et les moyens nécessaires en matière de sûreté qui sont susceptibles d’être utilisés en toutes circonstances. Cette catégorie contiendra des informations relatives aux mesures générales, par exemple les mesures techniques (y compris l’installation de moyens de détection, de contrôle d’accès, de protection et de prévention), aux mesures de nature organisationnelle (y compris des procédures d’alerte et de gestion de crise), aux mesures de contrôle et de vérification; aux communications; à la sensibilisation et à la formation, ainsi qu’à la sécurité des systèmes d’information;
- des mesures de sécurité graduées, qui peuvent être déclenchées en fonction de différents niveaux de menace.