Vers de nouvelles obligations pour renforcer la cybersécurité

Artikel
Publié le 09.12.2024 à 15h51 Mis à jour le 10.12.2024 à 12h09

Renforcer davantage la cybersécurité au niveau européen, c’est l’objectif du projet de loi 8364 qui transpose la directive dite « NIS 2 » (security of network an information systems). Ce futur cadre légal, analysé en commission parlementaire ce lundi 9 décembre 2024, devrait définir une nouvelle approche par rapport aux règles existantes. Il définit quelles entreprises doivent mettre en place des mesures spécifiques et notifier tout incident de cybersécurité importante. 

© Shutterstock/ Thapana_Studio

Le projet de loi introduit des plafonds pour définir les obligations des entreprises en fonction de leur taille :

  • les « entités essentielles » sont les entreprises actives dans un des secteurs hautement critiques, employant au moins 250 personnes et dont le chiffre d’affaires annuel dépasse les 50 millions d’euros ou le bilan annuel excède les 43 millions d’euros
  • les « entités importantes » sont des moyennes entreprises employant au moins 50 personnes et ayant un chiffre d’affaires ou un bilan d’au moins 10 millions d’euros.

Qui plus est, ces entreprises doivent être actives dans un des secteurs hautement critiques :

  1. Énergie 
  2. Transport 
  3. Secteur bancaire
  4. Infrastructures des marchés financiers
  5. Santé
  6. Eau potable
  7. Eaux usées
  8. Infrastructure numérique
  9. Gestion des services TIC
  10. Administration publique 
  11. Espace

Les moyennes et grandes entreprises des secteurs critiques suivants sont également considérées comme des entités importantes :

  1. Services postaux et d’expédition
  2. Gestion des déchets
  3. Fabrication, production et distribution de produits chimiques
  4. Production, transformation et distribution des denrées alimentaires
  5. Fournisseurs numériques
  6. Recherche
  7. Fabrication

D’autres entités sont d’offices concernées par les obligations : des opérateurs de services essentiels, des fournisseurs de réseaux télécom, l’administration publique ainsi que des entités définies comme étant « critiques » par un autre projet de loi. Ce dernier, le projet de loi 8307, vise à augmenter le niveau de résilience des fournisseurs de services essentiels et qui garantissent les fonctions sociétales et les activités économiques vitales au Luxembourg. Le texte transpose la directive européenne « CER » et sera désormais traité de manière concomitante par les députés et le rapporteur des deux projets de loi, le député du CSV Laurent Zeimet, Président de la Commission des Institutions. Il est sorti des discussions en commission parlementaire que les communes font également partie des entités concernées. Le nombre d’entités concernées n’est pour l’instant pas connu. 

De nouvelles règles pour protéger les infrastructures critiques

Un nouveau cadre légal devrait voir le jour d’ici octobre pour augmenter le niveau de résilience des fournisseurs de services essentiels qui garantissent les fonctions sociétales et les activités é

Mehr anzeigen

Des sanctions jusqu’à 10 millions d'euros

Un changement important par rapport au cadre légal existant concerne le fait que les entités doivent garantir la sécurité de leur chaîne d’approvisionnement. À l’avenir, les entreprises devront faire elles-mêmes les démarches pour s’enregistrer auprès de leur autorité compétente, à savoir l’Institut luxembourgeois de régulation (ILR) ou la Commission de surveillance du secteur financier (CSF) pour le secteur financier. Ces autorités auront un pouvoir de supervision et de sanction envers les entités. Les sanctions pour non-conformité peuvent aller d’un avertissement jusqu’à une amende administrative conséquente : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel pour les entités essentielles et jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel pour les entités importantes.

 

Les directions des entités seront tenues responsables et devront recevoir une formation obligatoire. Les députés se sont renseignés sur les délais d’enregistrement et ont suggéré que les autorités fassent des campagnes d’information afin d’éviter que des entreprises ne soient pas au courant de leurs nouvelles obligations.

Une meilleure coordination au niveau européen

Le texte vise également à introduire une meilleure coordination d’une éventuelle crise cyber au niveau européen. Le Haut comité pour la protection nationale (HCPN) est ainsi responsable de représenter le Luxembourg et d’adopter un plan national de réaction aux crises.

 

Avec le GOVCERT.LU (pour le secteur public et les entités critiques) et le CIRCL (pour les autres entités) deux centres de réponse aux incidents existent. Leur mission consiste à prévenir et à détecter les incidents et les risques, y réagir et en atténuer l’impact.

 

Les travaux parlementaires devront continuer pour répondre aux 10 oppositions formelles formulées par le Conseil d’État.