Loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant 1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et 2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale

« Réseau et système d’information » :un réseau de communications électroniques au sens de l’article 2, paragraphe 24, de la loi modifiée du 27 février 2011 sur les réseaux et les services de communications électroniques ;tout dispositif ou tout ensemble de dispositifs interconnectés ou apparentés, dont un ou plusieurs éléments assurent, en exécution d’un programme, un traitement automatisé de données numériques ; oules données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux lettres a) et b) en vue de leur fonctionnement, utilisation, protection et maintenance ;

« Sécurité des réseaux et des systèmes d’information » : la capacité des réseaux et des systèmes d’information de résister, à un niveau de confiance donné, à des actions qui compromettent la disponibilité, l’authenticité, l’intégrité ou la confidentialité de données stockées, transmises ou faisant l’objet d’un traitement, et des services connexes que ces réseaux et systèmes d’information offrent ou rendent accessibles ;

« Opérateur de services essentiels » : une entité publique ou privée dont le type figure en annexe et qui répond aux critères énoncés à l’article 7, paragraphe 2 ;

« Service numérique » : un service au sens de l’article 1^er, paragraphe 1^er, lettre b), de la loi du 8 novembre 2016 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information du type « place de marché en ligne », « moteur de recherche en ligne » ou « service d’informatique en nuage » ;

« Fournisseur de service numérique » : une personne morale qui fournit un service numérique ;

« Incident » : tout événement ayant un impact négatif réel sur la sécurité des réseaux et des systèmes d’information ;

« Gestion d’incident » : toutes les procédures utiles à la détection, à l’analyse et au confinement d’un incident et toutes les procédures utiles à l’intervention en cas d’incident ;

« Risque » : toute circonstance ou tout événement raisonnablement identifiable ayant un impact négatif potentiel sur la sécurité des réseaux et des systèmes d’information ;

« Représentant » : une personne physique ou morale établie dans l’Union européenne qui est expressément désignée pour agir pour le compte d’un fournisseur de service numérique non établi dans l’Union européenne ;

« Norme » : une norme au sens de l’article 2, point 1, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil ;

« Spécification » : une spécification technique au sens de l’article 2, point 4, du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n° 1673/2006/CE du Parlement européen et du Conseil ;

« Point d’échange internet », ci-après « IXP » : une structure de réseau qui permet l’interconnexion de plus de deux systèmes autonomes indépendants, essentiellement aux fins de faciliter l’échange de trafic internet ; un IXP n’assure l’interconnexion que pour des systèmes autonomes ; un IXP n’exige pas que le trafic internet passant entre une paire quelconque de systèmes autonomes participants transite par un système autonome tiers, pas plus qu’il ne modifie ou n’altère par ailleurs un tel trafic ;

« Système de noms de domaine », ci-après « DNS » : un système hiérarchique et distribué d’affectation de noms dans un réseau qui résout les questions liées aux noms de domaines ;

« Fournisseur de services DNS » : une entité qui fournit des services DNS sur l’internet ;

« Registre de noms de domaine de haut niveau » : une entité qui administre et gère l’enregistrement de noms de domaine internet dans un domaine de haut niveau donné ;

« Place de marché en ligne » : un service numérique qui permet à des consommateurs ou à des professionnels au sens de l’article L. 010-1, point 1 ou point 2 respectivement, du Code de la consommation de conclure des contrats de vente ou de service en ligne avec des professionnels soit sur le site internet de la place de marché en ligne, soit sur le site internet d’un professionnel qui utilise les services informatiques fournis par la place de marché en ligne ;

« Moteur de recherche en ligne » : un service numérique qui permet aux utilisateurs d’effectuer des recherches sur, en principe, tous les sites internet ou sur les sites internet dans une langue donnée, sur la base d’une requête lancée sur n’importe quel sujet sous la forme d’un mot clé, d’une phrase ou d’une autre entrée, et qui renvoie des liens à partir desquels il est possible de trouver des informations en rapport avec le contenu demandé ;

« Service informatique en nuage » : un service numérique qui permet l’accès à un ensemble modulable et variable de ressources informatiques pouvant être partagées ;

« CERT Gouvernemental » : Centre de traitement des urgences informatiques, tel que défini à l’arrêté grand-ducal du 9 mai 2018 déterminant l’organisation et les attributions du Centre de traitement des urgences informatiques, dénommé « CERT Gouvernemental » ;

« CIRCL » : Computer Incident Response Center Luxembourg, opéré par le groupement d’intérêt économique Security Made in Lëtzebuerg ;

« CSIRT » : centre de réponse aux incidents de sécurité informatiques ;

« Groupe de coopération » : groupe institué aux fins de soutenir et de faciliter la coopération stratégique et l’échange d’informations entre les États membres et de renforcer la confiance, et de parvenir à un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne ;

« Réseau des CSIRT » : groupe institué aux fins de contribuer au renforcement de la confiance entre les États membres et de promouvoir une coopération opérationnelle rapide et effective ;

« Point de contact national unique » : autorité qui exerce une fonction de liaison pour assurer une coopération transfrontalière entre les autorités des États membres, ainsi qu’avec les autorités concernées des autres États membres, le groupe de coopération et le réseau des CSIRT.

une entité fournit un service qui est essentiel au maintien d’activités sociétales et/ou économiques critiques ;

la fourniture de ce service est tributaire des réseaux et des systèmes d’information ; et

un incident aurait un effet disruptif important sur la fourniture dudit service.

le nombre d’utilisateurs tributaires du service fourni par l’entité concernée ;

la dépendance des autres secteurs visés en annexe à l’égard du service fourni par cette entité ;

les conséquences que des incidents pourraient avoir, en termes de degré et de durée, sur les fonctions économiques ou sociétales ou sur la sûreté publique ;

la part de marché de cette entité ;

la portée géographique eu égard à la zone susceptible d’être touchée par un incident ;

l’importance que revêt l’entité pour garantir un niveau de service suffisant, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service.