LegalizeLoi du 1er juillet 2024 portant modification de : 1° la loi modifiée du 5 avril 1993 relative au secteur financier ; 2° la loi modifiée du 13 juillet 2005 relative aux institutions de retraite professionnelle sous forme de sepcav et assep ; 3° la loi modifiée du 10 novembre 2009 relative aux services de paiement ; 4° la loi modifiée du 17 décembre 2010 concernant les organismes de placement collectif ; 5° la loi modifiée du 12 juillet 2013 relative aux gestionnaires de fonds d’investissement alternatifs ; 6° la loi modifiée du 7 décembre 2015 sur le secteur des assurances ; 7° la loi modifiée du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d’investissement ; 8° la loi modifiée du 30 mai 2018 relative aux marchés d’instruments financiers ; 9° la loi modifiée du 16 juillet 2019 relative à l’opérationnalisation de règlements européens dans le domaine des services financiers, en vue de la mise en œuvre du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 et de la transposition de la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier
Nous Henri, Grand-Duc de Luxembourg, Duc de Nassau,
Le Conseil d’État entendu ;
Vu l’adoption par la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 13 juin 2024 et celle du Conseil d’État du 25 juin 2024 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Chapitre 1er Modification de la loi modifiée du 5 avril 1993 relative au secteur financier
Art. 1er.
L’article 5, paragraphe 1bis, alinéa 1er, de la loi modifiée du 5 avril 1993 relative au secteur financier, est modifié comme suit :
Les mots , des réseaux et des systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, [(UE) n° 648/2012
](/eli/reg_ue/2012/648/jo), (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, ci-après le « règlement (UE) 2022/2554 » sont insérés entre les mots administratives et comptables saines et les mots et des politiques ;
Les mots , ainsi que des mécanismes de contrôle et de sécurité de ses systèmes informatiques sont supprimés.
Art. 2.
À l’article 17, paragraphe 1bis, de la même loi, les mots ainsi que des mécanismes de contrôle et de sécurité de ses systèmes informatiques sont supprimés.
Art. 3.
L’article 37-1 de la même loi est modifié comme suit :
Au paragraphe 3, deuxième phrase, les mots ils doivent mettre en place des systèmes, des ressources et des procédures appropriés et proportionnés sont remplacés par les mots ils utilisent des systèmes appropriés et proportionnés, y compris des systèmes de technologies de l’information et de la communication (ci-après « TIC ») mis en place et gérés conformément à l’article 7 du règlement (UE) 2022/2554, ainsi que des ressources et des procédures appropriées et proportionnées ;
Au paragraphe 4, les mots et de mécanismes de contrôle et de sécurité de leurs systèmes informatiques sont supprimés ;
Au paragraphe 5bis,le mot garantir est remplacé par les mots assurer, conformément aux exigences fixées dans le règlement (UE) 2022/2554,.
Art. 4.
À l’article 53, paragraphe 2, lettre a), sous vi), de la même loi, le mot opérationnelles est remplacé par les mots , y compris, le cas échéant, les prestataires tiers de services TIC visés au chapitre V du règlement (UE) 2022/2554 .
Art. 5.
L’article 53-21, paragraphe 2, de la même loi prend la teneur suivante :
« (2)
Les établissements CRR disposent de politiques et de plans d’urgence et de poursuite de l’activité adéquats, y compris des politiques et des plans en matière de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC concernant les technologies qu’ils utilisent pour la communication d’informations. Les établissements CRR établissent, gèrent et testent ces plans conformément à l’article 11 du règlement (UE) 2022/2554, afin qu’ils puissent poursuivre leurs activités en cas de grave perturbation de celles-ci et limiter les pertes subies à la suite d’une telle perturbation. ».
Art. 6.
L’article 53-25, paragraphe 1er, de la même loi est modifié comme suit :
Au point 2, le mot et est supprimé après le point-virgule ;
Au point 3, le point final est remplacé par les mots ; et ;
Il est inséré, à la suite du point 3, un nouveau point 4, libellé comme suit :
les risques mis en évidence par des tests de résilience opérationnelle numérique conformément au chapitre IV du règlement (UE) 2022/2554. ».
Art. 7.
À l’article 59-18, paragraphe 4, lettre p), de la même loi, les mots l’infrastructure et les services informatiques sont remplacés par les mots les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 .
Chapitre 2 Modification de la loi modifiée du 13 juillet 2005 relative aux institutions de retraite professionnelle sous forme de sepcav et assep
Art. 8.
À l’article 57-1, paragraphe 5, de la loi modifiée du 13 juillet 2005 relative aux institutions de retraite professionnelle sous forme de sepcav et assep, les mots et, en particulier, mettent en place et gèrent des réseaux et des systèmes d’information conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, le cas échéant sont ajoutés après les mots appropriés et proportionnés.
Chapitre 3 Modification de la loi modifiée du 10 novembre 2009 relative aux services de paiement
Art. 9.
À l’article 3, lettre j), de la loi modifiée du 10 novembre 2009 relative aux services de paiement, les mots et de la communication (ci-après « TIC ») sont insérés entre les mots technologies de l’information et les mots et la fourniture.
Art. 10.
L’article 8, paragraphe 1er, de la même loi, est modifié comme suit :
1. L’alinéa 1er est modifié comme suit :
À la lettre e), les mots ainsi que des dispositions relatives à l’utilisation des services TIC conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, ci-après le « règlement (UE) 2022/2554 », sont insérés entres les mots du requérant, et les mots qui démontre ; À la lettre m), les mots en vertu de l’article 105-2 sont remplacés par les mots fixées au chapitre III du règlement (UE) 2022/2554 ; À la lettre o), les mots activités essentielles, des plans d’urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience sont remplacés par les mots opérations critiques, une politique et des plans en matière de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu’une procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et l’efficacité de ces plans conformément au règlement (UE) 2022/2554 ;
À l’alinéa 3, les mots sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques sont remplacés par les mots résilience opérationnelle numérique conformément au chapitre II du règlement (UE) 2022/2554, notamment en ce qui concerne la sécurité technique et la protection des données, y compris pour les logiciels et les systèmes de TIC.
Art. 11.
À l’article 11, paragraphe 4, alinéa 2, de la même loi, le mot informatiques est remplacé par les mots de TIC.
Art. 12.
L’article 24-4 de la même loi est modifié comme suit :
1. L’alinéa 1er est modifié comme suit :
À la lettre e), les mots ainsi que des dispositions relatives à l’utilisation des services TIC conformément au règlement (UE) 2022/2554, sont insérés entre les mots du requérant, et les mots qui démontre ; À la lettre m), les mots en vertu de l’article 105-2 sont remplacés par les mots fixées au chapitre III du règlement (UE) 2022/2554 ; À la lettre o), les mots activités essentielles, des plans d’urgence appropriés et une procédure prévoyant de soumettre ces plans à des tests et de réexaminer périodiquement leur adéquation et leur efficience sont remplacés par les mots opérations critiques, une politique et des plans en matière de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu’une procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et l’efficacité de ces plans conformément au règlement (UE) 2022/2554 ;
À l’alinéa 3, les mots sécurité technique et de protection des données, y compris pour les systèmes logiciels et informatiques sont remplacés par les mots résilience opérationnelle numérique conformément au chapitre II du règlement (UE) 2022/2554, notamment en ce qui concerne la sécurité technique et la protection des données, y compris pour les logiciels et les systèmes de TIC.
Art. 13.
À l’article 24-7, paragraphe 4, alinéa 2, de la même loi, le mot informatiques est remplacé par les mots de TIC.
Art. 14.
À l’article 105-1, paragraphe 1er, de la même loi, il est inséré un nouvel alinéa 2, libellé comme suit :
« L’alinéa 1er est sans préjudice de l’application du chapitre II du règlement (UE) 2022/2554 aux prestataires de services de paiement visés à l’article 1er, points 37), i), ii), iv), vii) et viii), et 37quinquies). ».
Art. 15.
À l’article 105-2 de la même loi, il est inséré à la suite du paragraphe 3, un nouveau paragraphe 4, libellé comme suit :
« (4)
Le paragraphe (1) ne s’applique pas aux prestataires de services de paiement visés à l’article 1er, points 37), i), ii), iv), vii) et viii), et 37quinquies). ».
Chapitre 4 Modification de la loi modifiée du 17 décembre 2010 concernant les organismes de placement collectif
Art. 16.
À l’article 109, paragraphe 1er, lettre a), de la loi modifiée du 17 décembre 2010 concernant les organismes de placement collectif, les mots sécurité dans le domaine informatique sont remplacés par les mots sauvegarde dans le domaine du traitement électronique des données, y compris en ce qui concerne les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, [(UE) n° 600/2014
](/eli/reg_ue/2014/600/jo), (UE) n° 909/2014 et (UE) 2016/1011 .
Chapitre 5 Modification de la loi modifiée du 12 juillet 2013 relative aux gestionnaires de fonds d’investissement alternatifs
Art. 17.
L’article 16, alinéa 2, de la loi modifiée du 12 juillet 2013 relative aux gestionnaires de fonds d’investissement alternatifs est modifié comme suit :
1. Les mots y compris en ce qui concerne les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, sont insérés entre les mots traitement électronique des données, et les mots ainsi que des mécanismes ;
Le mot participation est remplacé par le mot détention.
Chapitre 6 Modification de la loi modifiée du 7 décembre 2015 sur le secteur des assurances
Art. 18.
À l’article 71, paragraphe 4, deuxième phrase, de la loi modifiée du 7 décembre 2015 sur le secteur des assurances, les mots et, en particulier, de mettre en place et de gérer des réseaux et des systèmes d’information conformément au règlement (UE) 2022/2554 sont ajoutés après les mots appropriés et proportionnés.
Art. 19.
À l’article 256-22, paragraphe 6, deuxième phrase, de la même loi, les mots et, en particulier, de mettre en place et de gérer des réseaux et des systèmes d’information conformément au règlement (UE) 2022/2554, le cas échéant sont ajoutés après les mots appropriés et proportionnés.
Chapitre 7 Modification de la loi modifiée du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d’investissement
Art. 20.
L’article 9, paragraphe 4, de la loi modifiée du 18 décembre 2015 relative à la défaillance des établissements de crédit et de certaines entreprises d’investissement, est modifié comme suit :
Au point 3, les mots et la résilience opérationnelle numérique sont insérés entre le mot continuité et les mots en cas ;
Le point 17 est complété par les mots , y compris des réseaux et des systèmes d’information visés dans le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, [(UE) n° 648/2012
](/eli/reg_ue/2012/648/jo), (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, ci-après le « règlement (UE) 2022/2554 ».
Art. 21.
L’annexe 1 de la même loi est modifiée comme suit :
La consultation de ce document ne remplace pas la lecture du texte officiel publié au Mémorial du Grand-Duché de Luxembourg. Nous déclinons toute responsabilité pour d'éventuelles inexactitudes résultant de la conversion de l'original dans ce format.