Vers de nouvelles obligations pour renforcer la cybersécurité

Le projet de loi introduit des plafonds pour définir les obligations des entreprises en fonction de leur taille :

• les « entités essentielles » sont les entreprises actives dans un des secteurs hautement critiques, employant au moins 250 personnes et dont le chiffre d’affaires annuel dépasse les 50 millions d’euros ou le bilan annuel excède les 43 millions d’euros
• les « entités importantes » sont des moyennes entreprises employant au moins 50 personnes et ayant un chiffre d’affaires ou un bilan d’au moins 10 millions d’euros.

Qui plus est, ces entreprises doivent être actives dans un des secteurs hautement critiques :

1. Énergie 
2. Transport 
3. Secteur bancaire
4. Infrastructures des marchés financiers
5. Santé
6. Eau potable
7. Eaux usées
8. Infrastructure numérique
9. Gestion des services TIC
10. Administration publique 
11. Espace

Les moyennes et grandes entreprises des secteurs critiques suivants sont également considérées comme des entités importantes :

1. Services postaux et d’expédition
2. Gestion des déchets
3. Fabrication, production et distribution de produits chimiques
4. Production, transformation et distribution des denrées alimentaires
5. Fournisseurs numériques
6. Recherche
7. Fabrication

D’autres entités sont d’offices concernées par les obligations : des opérateurs de services essentiels, des fournisseurs de réseaux télécom, l’administration publique ainsi que des entités définies comme étant « critiques » par un autre projet de loi. Ce dernier, le projet de loi 8307, vise à augmenter le niveau de résilience des fournisseurs de services essentiels et qui garantissent les fonctions sociétales et les activités économiques vitales au Luxembourg. Le texte transpose la directive européenne « CER » et sera désormais traité de manière concomitante par les députés et le rapporteur des deux projets de loi, le député du CSV Laurent Zeimet, Président de la Commission des Institutions. Il est sorti des discussions en commission parlementaire que les communes font également partie des entités concernées. Le nombre d’entités concernées n’est pour l’instant pas connu. 

De nouvelles règles pour protéger les infrastructures critiques

Un nouveau cadre légal devrait voir le jour d’ici octobre pour augmenter le niveau de résilience des fournisseurs de services essentiels qui garantissent les fonctions sociétales et les activités é

Méi uweisen

Des sanctions jusqu’à 10 millions d'euros

Un changement important par rapport au cadre légal existant concerne le fait que les entités doivent garantir la sécurité de leur chaîne d’approvisionnement. À l’avenir, les entreprises devront faire elles-mêmes les démarches pour s’enregistrer auprès de leur autorité compétente, à savoir l’Institut luxembourgeois de régulation (ILR) ou la Commission de surveillance du secteur financier (CSF) pour le secteur financier. Ces autorités auront un pouvoir de supervision et de sanction envers les entités. Les sanctions pour non-conformité peuvent aller d’un avertissement jusqu’à une amende administrative conséquente : jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires annuel pour les entités essentielles et jusqu'à 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel pour les entités importantes.

Les directions des entités seront tenues responsables et devront recevoir une formation obligatoire. Les députés se sont renseignés sur les délais d’enregistrement et ont suggéré que les autorités fassent des campagnes d’information afin d’éviter que des entreprises ne soient pas au courant de leurs nouvelles obligations.

Une meilleure coordination au niveau européen

Le texte vise également à introduire une meilleure coordination d’une éventuelle crise cyber au niveau européen. Le Haut comité pour la protection nationale (HCPN) est ainsi responsable de représenter le Luxembourg et d’adopter un plan national de réaction aux crises.

Avec le GOVCERT.LU (pour le secteur public et les entités critiques) et le CIRCL (pour les autres entités) deux centres de réponse aux incidents existent. Leur mission consiste à prévenir et à détecter les incidents et les risques, y réagir et en atténuer l’impact.

Les travaux parlementaires devront continuer pour répondre aux 10 oppositions formelles formulées par le Conseil d’État.

• 8364 Gesetzprojet

  En commission

  Projet de loi concernant des mesures destinées à assurer un niveau élevé de cybersécurité et portant modification de : 1° la loi modifiée du 14 août 2000 relative au commerce électronique ; 2° la loi modifiée du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale ; 3° la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union européenne et modifiant 1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l'information de l'État et 2° la loi du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale ; 4° la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques

  · 13.03.2024

  Den Dossier uweisen
• 8307 Gesetzprojet

  En commission

  Projet de loi portant transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil, et modifiant : 1° la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État ; 2° la loi modifiée du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale

  · 01.09.2023

  Den Dossier uweisen
• 

  Commission des Institutions