Loi du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale et modifiant
a)la loi modifiée du 23 juillet 1952 concernant l'organisation militaire; b)la loi du 8 décembre 1981 sur les réquisitions en cas de conflit armé, de crise internationale grave ou de catastrophe; c)la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel; d)la loi modifiée du 25 juin 2009 sur les marchés publics; e)la loi modifiée du 9 décembre 2005 déterminant les conditions et modalités de nomination de certains fonctionnaires occupant des fonctions dirigeantes dans les administrations et services de l'État; f)la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État.
Chapitre 1er
— Objet
Chapitre 2 — Définitions
Chapitre 3 — Mission et attributions du Haut-Commissariat à la Protection nationale
Chapitre 4 — La protection des entités critiques
Chapitre 4bis — La stratégie nationale en matière de cybersécurité
Chapitre 4ter
— Le plan national de réaction aux crises et incidents de cybersécurité majeurs
Chapitre 5 — Le personnel du Haut-Commissariat à la Protection nationale
Chapitre 6 — Dispositions spéciales
Chapitre 7 — Dispositions modificatives, transitoires et spéciales
Chapitre 1er - Objet
Art. 1er. (L du 05 mai 2026) Modifications 1
Il est créé une administration dénommée Haut-Commissariat à la Protection nationale, dont les compétences et les mécanismes selon lesquels elle intervient sont déterminés par la présente loi qui règle également l'organisation de la protection des 27 >entités critiques27 < .
Le Haut-Commissariat à la Protection nationale est placé sous l'autorité du membre du Gouvernement ayant dans ses attributions la Protection nationale.
Chapitre 2 - Définitions
Art. 2. (L du 28 mai 2019) (L du 17 juin 2022) (L du 05 mai 2026) (L du 05 mai 2026) Modifications 4
Pour l'application de la présente loi, on entend par
1.«concept de protection nationale»: un concept qui consiste à prévenir les crises, respectivement à protéger le pays et la population contre les effets d'une crise. En cas de survenance d'une crise, il comprend la gestion des mesures et activités destinées à faire face à la crise et à ses effets et à favoriser le retour à l'état normal; 2.«crise»: tout évènement qui, par sa nature ou ses effets, porte préjudice aux intérêts vitaux ou aux besoins essentiels de tout ou partie du pays ou de la population, qui requiert des décisions urgentes et qui exige une coordination au niveau national des actions du Gouvernement, des administrations, des services et organismes relevant des pouvoirs publics, et, si besoin en est, également au niveau international; 3.«gestion de crises»: l'ensemble des mesures et activités que le Gouvernement initie, le cas échéant avec le concours des autorités communales concernées, pour faire face à la crise et à ses effets et pour favoriser le retour à l'état normal; 28 >4. entité critique » : une entité au sens de la loi du 5 mai 2026 sur la résilience des entités critiques ;28 < 1 >;1 < 7 >4bis. « sécurité de l’information » : sécurité autour des réseaux et systèmes d’information non classifiés installés et exploités par les administrations et services de l’État ;7 < 17 >5. « réseau et système d’information » : le réseau et système d’information au sens de l’article 2, point 1°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; 6. « cybersécurité » : la cybersécurité au sens de l’article 2, point 3°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; 7. « stratégie nationale en matière de cybersécurité » : un cadre cohérent fournissant des objectifs et des priorités stratégiques dans le domaine de la cybersécurité et de la gouvernance en vue de les réaliser au niveau national ; 8. « incident » : l’incident au sens de l’article 2, point 5°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; 9.« gestion des incidents » : gestion des incidents au sens de l’article 2, point 7°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; 10. « cybermenace » : la cybermenace au sens de l’article 2, point 9°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; 11. « vulnérabilité » : la vulnérabilité au sens de l’article 2, point 14°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité.17 <
Chapitre 3 - Mission et attributions du Haut-Commissariat à la Protection nationale
Art. 3. (L du 28 mai 2019) (L du 17 juin 2022) (L du 05 mai 2026) (L du 05 mai 2026) Modifications 14
(1)Le Haut-Commissariat à la Protection nationale a pour mission de mettre en oeuvre le concept de protection nationale tel que défini à l'article 2. Dans le cadre de cette mission, le Haut-Commissariat à la Protection nationale a pour attributions
a)quant aux mesures de prévention de crises: 1.de coordonner les contributions des ministères, administrations et services de l'État; 2.de coordonner les politiques, les projets et les programmes de recherche; 3.de procéder à l'analyse des risques et à l'organisation d'une veille; 4.de coordonner l'organisation des cours de formation et des exercices;
b)quant aux mesures d'anticipation de crises: 1.de développer et de coordonner une stratégie nationale de gestion de crises; 2.de définir la typologie, la structure, le corps et le format des plans déclinant les mesures et activités de prévention et de gestion de crises et de coordonner la planification; 29 >3. de veiller à l’exécution des mesures relatives à la résilience des entités critiques en application de la loi du 5 mai 2026 sur la résilience des entités critiques ;29 <
3 > 4.de coordonner et d’élaborer une 18 >stratégie nationale en matière de cybersécurité18 < ;3 <
c)quant aux mesures de gestion de crises: 1.d'initier, de conduire et de coordonner les tâches de gestion de crises;
19 >1bis.
de coordonner la communication de crise en situation de crise ;19 <
2.de veiller à l'exécution de toutes les décisions prises; 3.de favoriser le plus rapidement possible le retour à l'état normal; 4.de préparer un budget commun pour la gestion de crises et de veiller à son exécution; 5.de veiller à la mise en place et au fonctionnement du Centre national de crise.
Dans le cadre de ses attributions, le Haut-Commissariat à la Protection nationale est le point de contact du Luxembourg auprès des institutions et organisations européennes et internationales et veille à une coopération efficace avec ces entités.
8 >(1bis)Le Haut-Commissariat à la Protection nationale est encore chargé des missions suivantes :
a)attributions dans sa fonction d’Agence nationale de la sécurité des systèmes d’information, ci-après « ANSSI » ; 20 >b) attributions dans sa fonction de Centre gouvernemental de réponse aux incidents de sécurité informatique (CSIRT), ci-après « GOVCERT.LU »20 < ; 21 >c)
attributions dans sa fonction de Service de la communication de crise, ci-après « SCC ».
21 <
8 <
9 >(1ter)Dans sa fonction d’ANSSI, le Haut-Commissariat à la Protection nationale a pour missions :
a)de contribuer à la mise en œuvre de la politique générale de sécurité de l’information de l’État ; b)de contribuer à la mise en œuvre, en concertation avec les administrations et services de l’État, des politiques et lignes directrices de sécurité de l’information portant sur les domaines de la politique générale de sécurité de l’information de l’État et des nouvelles technologies de l’information et de la communication ; c)d’émettre des recommandations d’implémentation des politiques et lignes directrices de sécurité de l’information et d’assister les administrations et services de l’État au niveau de l’implémentation des mesures proposées ; d)de définir, en concertation avec les administrations et services de l’État, une approche de gestion des risques, en vue de constituer un plan d’évaluation et d’identification des risques concernant la sécurité de l’information et d’accompagner, à leur demande, les administrations et services de l’État dans l’analyse et la gestion des risques ; e)de conseiller l’Institut national d’administration publique, respectivement, à leur demande, les administrations et services de l’État dans la définition d’un programme de formation dans le domaine de la sécurité de l’information ; f)de promouvoir la sécurité de l’information par le biais de mesures de sensibilisation ; g)de conseiller, à leur demande, les établissements publics et les 30 >entités critiques30 < en matière de sécurité des réseaux et systèmes d’information et des risques y liés ; h)d’assurer la fonction d’autorité TEMPEST en veillant à la conformité des réseaux et systèmes d’information classifiés aux stratégies et lignes directrices TEMPEST et en approuvant les contre-mesures TEMPEST pour les installations et les produits destinés à protéger des pièces classifiées jusqu’à un certain niveau de classification dans leur environnement opérationnel.9 <
10 > 22 >(1quater)Dans sa fonction de GOVCERT.LU, le Haut-Commissariat à la Protection nationale a pour missions :
a)de constituer le point de contact unique dédié à la gestion des incidents affectant les réseaux et systèmes d’information des administrations et services de l’État et des établissements publics ; b)d’assurer un service de veille, de détection, d’alerte et de réaction aux cybermenaces et aux vulnérabilités affectant les réseaux et systèmes d’information des administrations et services de l’État et, à leur demande, des établissements publics ; c)d’assurer la fonction de centre national de réponse aux incidents de sécurité informatique, dénommé « CSIRT National », en1.opérant comme le point de contact officiel national pour les CSIRT nationaux et gouvernementaux étrangers ; 2.opérant comme le point de contact officiel national pour la collecte, l’analyse et la distribution d’informations relatives aux cybermenaces et incidents qui concernent les réseaux et systèmes d’information implantés au Grand-Duché de Luxembourg ; 3.relayant les informations collectées aux CSIRT sectoriels en charge de la cible d’une attaque ou, à défaut de CSIRT sectoriel, directement à la cible ; 4.assurant un service de veille aux cybermenaces et aux vulnérabilités et en réagissant aux incidents et en apportant une assistance aux entités critiques, le cas échéant.
d)d’assurer la fonction de centre militaire de réponse aux incidents de sécurité informatique, dénommé « MILCERT.LU », en1.opérant comme le point de contact officiel national pour les CSIRT militaires étrangers ; 2.assurant, à partir du territoire du Grand-Duché de Luxembourg, un service de veille, de détection, d’alerte et de réaction aux cybermenaces, vulnérabilités et incidents affectant les réseaux et les systèmes d’information de l’armée ; 3.opérant, à partir du territoire du Grand-Duché de Luxembourg, une équipe d’intervention spécialisée capable de prendre en charge la réponse aux incidents liés à ces réseaux et systèmes d’information.
Le Haut-Commissaire à la Protection nationale peut, dans l’intérêt de l’exécution des missions du GOVCERT.LU, demander leur concours aux agents des administrations et services de l’État. 22 <
10 <
11 > 23 >(1quinquies) Dans sa fonction de Service de la communication de crise, le Haut-Commissariat à la Protection nationale a pour missions :
a) de coordonner la communication de crise avant, pendant et après des situations de crise pouvant frapper le territoire national, par l’intermédiaire des médias, l’internet et les réseaux sociaux ;
b) d’effectuer une communication préventive et pédagogique en sensibilisant les médias et le public sur les questions relevant de la protection du pays, de ses sites sensibles et de sa population ;
c) de créer et de maintenir des contacts étroits et réguliers avec les services de communication de crise étrangers.
23 <
11 <
(2)Les autorités administratives et judiciaires, la Police grand-ducale et le Haut-Commissariat à la Protection nationale veillent à assurer une coopération efficace en matière de communication des informations susceptibles d'avoir un rapport avec leurs missions.
(3)Le Haut-Commissaire à la Protection nationale ou son délégué peuvent, par demande écrite, demander à tout détenteur d'un secret professionnel ou d'un secret protégé par une clause contractuelle la communication des informations couvertes par ce secret si la révélation dudit secret est nécessaire à l'exercice de sa mission de gestion de crises ou de protection des 31 >entités critiques31 < . Une divulgation d'informations en réponse à une telle demande n'entraîne pour l'organisme ou la personne détenteur des informations secrètes aucune responsabilité.
(4)Les informations qui sont couvertes par le secret de l'instruction relative à une enquête judiciaire concomitante ne peuvent être transmises qu'avec l'accord de la juridiction ou du magistrat saisi du dossier.
32 >Chapitre 4 - La protection des entités critiques32 <
33 >Art. 4.
La protection de l'infrastructure critique comprend l'ensemble des activités visant à prévenir, à atténuer ou à neutraliser le risque d'une réduction ou d'une discontinuité de la disponibilité de fournitures ou de services indispensables à la sauvegarde des intérêts vitaux ou des besoins essentiels de tout ou partie du pays ou de la population offerts par l'intermédiaire de l'infrastructure ainsi que le risque externe dont l'infrastructure est susceptible de faire l'objet.
Un point, système ou partie de celui-ci ne répondant pas à la définition donnée à l'article 2, peut être recensé et classifié comme infrastructure critique lorsque le fonctionnement d'une infrastructure critique en dépend.
De même peut être recensé et désigné comme infrastructure critique un secteur ou une partie de secteur dont tous les éléments ne répondent pas nécessairement à la définition donnée à l'article 2, mais dont l'ensemble est considéré comme tel.
Art. 5.
Les modalités du recensement et de la désignation des infrastructures critiques sont fixées par règlement grand-ducal.
Art. 6.
Le propriétaire ou opérateur d'une infrastructure critique est tenu de mettre à la disposition du Haut-Commissariat à la Protection nationale toutes les données sollicitées aux fins du recensement, de la désignation et de la protection des infrastructures critiques. Ces données comprennent toutes les informations qui sont nécessaires dans le contexte de la prévention ou de la gestion d'une crise.
Les données relatives à l'infrastructure critique faisant l'objet d'un enregistrement, d'une communication, d'une déclaration, d'un recensement, d'un classement, d'une autorisation ou d'une notification imposés par la loi ou par la réglementation afférente sont communiquées au Haut-Commissariat à la Protection nationale, sur sa demande, par les départements ministériels, les administrations et services de l'État qui détiennent ces données.
Art. 7.
La désignation d'une infrastructure critique fait l'objet d'un arrêté grand-ducal.
Art. 8. (L du 28 mai 2019) (L du 05 mai 2026)
(1) Le propriétaire ou opérateur d'une infrastructure critique est tenu d'élaborer un plan de sécurité et de continuité de l'activité qui comporte les mesures de sécurité pour la protection de l'infrastructure. Le Haut-
Commissariat à la Protection nationale adresse au propriétaire ou à l'opérateur d'une infrastructure critique des recommandations concernant ces mesures de sécurité qui permettent d'en assurer la protection au sens de 4 >l’article 44 < , d'en améliorer la résilience et de faciliter la gestion d'une crise.
(2) Le propriétaire ou opérateur d'une infrastructure critique est tenu de désigner un correspondant pour la sécurité qui exerce la fonction de contact pour les questions liées à la sécurité de l'infrastructure avec le Haut-Commissariat à la Protection nationale.
(3) Le propriétaire ou opérateur d'une infrastructure critique doit notifier au Haut-Commissariat à la Protection nationale tout incident ayant eu un impact significatif sur la sécurité et la pérennité du fonctionnement de l'infrastructure.
(4) La structure des plans de sécurité et de continuité de l'activité des infrastructures critiques est fixée par règlement grand-ducal. 33 <
Art. 9. (L du 05 mai 2026) Modifications 2
En cas d'imminence ou de survenance d'une crise, le propriétaire ou opérateur d'une 34 >entité critique34 < , qui doit être, sauf en cas d'extrême urgence, dûment averti, est tenu de donner libre accès aux agents du Haut-Commissariat à la Protection nationale aux installations, locaux, terrains, aménagements faisant partie de l' 35 >entité35 < visée par la présente loi et les règlements à prendre en vue de son application.
Les actions de visite ou de contrôle entreprises sur place respectent le principe de proportionnalité.
Les dispositions reprises aux alinéas qui précèdent ne sont pas applicables aux locaux qui servent à l'habitation.
24 >Chapitre 4bis - La stratégie nationale en matière de cybersécurité
Art. 9bis. (L du 05 mai 2026) Modifications 1
(1)Le Haut-Commissariat à la Protection nationale adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. La stratégie nationale en matière de cybersécurité comprend :
a)les objectifs et priorités de la stratégie en matière de cybersécurité, couvrant en particulier les secteurs visés aux annexes I et II de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; b)un cadre de gouvernance visant à atteindre les objectifs et priorités visés à la lettre a) du présent paragraphe, y compris les politiques visées au paragraphe 2 ; c)un cadre de gouvernance précisant les rôles et les responsabilités des parties prenantes concernées, et sur lequel reposent la coopération et la coordination entre les autorités compétentes, le point de contact unique et les CSIRT en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité, ainsi que la coordination et la coopération entre ces organismes et les autorités compétentes en vertu d’actes juridiques sectoriels de l’Union européenne ; d)un mécanisme visant à déterminer les actifs pertinents et une évaluation des risques ; e)un inventaire des mesures garantissant la préparation, la réaction et la récupération des services après incident, y compris la coopération entre les secteurs public et privé ; f) une liste des différents acteurs et autorités concernés par la mise en œuvre de la stratégie nationale en matière de cybersécurité ; g)un cadre politique visant une coordination renforcée entre les autorités compétentes en vertu de la présente loi et de la loi du 5 mai 2026 sur la résilience des entités critiques aux fins du partage d’informations relatives aux risques, aux menaces et aux incidents dans les domaines cyber et non cyber et de l’exercice des tâches de supervision, le cas échéant ; h)un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité.
(2)Dans le cadre de la stratégie nationale en matière de cybersécurité, le Haut-Commissariat à la Protection nationale adopte notamment des politiques portant sur les éléments suivants :
a)la cybersécurité dans le cadre de la chaîne d’approvisionnement des produits et services TIC utilisés par des entités pour la fourniture de leurs services ; b)l’inclusion et la spécification d’exigences liées à la cybersécurité pour les produits et services TIC dans les marchés publics, y compris concernant la certification de cybersécurité, le chiffrement et l’utilisation de produits de cybersécurité en sources ouvertes ; c)la gestion des vulnérabilités, y compris la promotion et la facilitation de la divulgation coordonnée des vulnérabilités en vertu de l’article 9, paragraphe 1er, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; d)le maintien de la disponibilité générale, de l’intégrité et de la confidentialité du noyau public de l’internet ouvert, y compris, le cas échéant, la cybersécurité des câbles de communication sous-marins ; e)la promotion du développement et de l’intégration de technologies avancées pertinentes visant à mettre en œuvre des mesures de pointe dans la gestion des risques en matière de cybersécurité ; f) la promotion et le développement de l’éducation et de la formation en matière de cybersécurité, des compétences en matière de cybersécurité, des initiatives de sensibilisation et de recherche et développement en matière de cybersécurité, ainsi que des orientations sur les bonnes pratiques de cyberhygiène et les contrôles, à l’intention des citoyens, des parties prenantes et des entités ; g)le soutien aux institutions universitaires et de recherche visant à développer, améliorer et promouvoir le déploiement des outils de cybersécurité et à sécuriser les infrastructures de réseau ; h)la mise en place de procédures pertinentes et d’outils de partage d’informations appropriés visant à soutenir le partage volontaire d’informations sur la cybersécurité entre les entités conformément au droit de l’Union européenne ; i)le renforcement des valeurs de cyberrésilience et de cyberhygiène des petites et moyennes entreprises, en particulier celles qui sont exclues du champ d’application de la présente loi, en fournissant des orientations et un soutien facilement accessibles pour répondre à leurs besoins spécifiques ; j) la promotion d’une cyberprotection active.
Le Haut-Commissariat à la Protection nationale évalue régulièrement la stratégie nationale en matière de cybersécurité, et au moins tous les cinq ans, sur la base d’indicateurs clés de performance et, le cas échéant, les modifient.24 <
25 >Chapitre 4ter - Le plan national de réaction aux crises et incidents de cybersécurité majeurs
Art. 9ter. (L du 05 mai 2026) Modifications 1
Le Haut-Commissariat à la Protection nationale adopte un plan national de réaction aux crises et incidents de cybersécurité majeurs dans lequel sont définis les objectifs et les modalités de gestion des incidents de cybersécurité majeurs et des crises. Ce plan établit notamment les éléments suivants :
a)les objectifs des mesures et activités nationales de préparation ; b)les tâches et responsabilités de l’autorité de gestion des crises cyber en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité ; c) les procédures de gestion des crises cyber, y compris leur intégration dans le cadre national général de gestion des crises et les canaux d’échange d’informations ; d)les mesures de préparation nationales, y compris des exercices et des activités de formation ; e)les parties prenantes et les infrastructures des secteurs public et privé concernées ; f)les procédures et arrangements nationaux entre les autorités et les organismes nationaux compétents visant à garantir la participation et le soutien effectifs à la gestion coordonnée des incidents de cybersécurité majeurs et des crises au niveau de l’Union européenne.25 <
Chapitre 5 - Le personnel du Haut-Commissariat à la Protection nationale
Art. 10. (L du 17 juin 2022) Modifications 2
La nomination 12 >aux fonctions de Haut-Commissaire à la Protection nationale et de Haut-Commissaire à la Protection nationale adjoint12 < se fait par arrêté grand-ducal sur proposition du membre du Gouvernement ayant dans ses attributions la Protection nationale.
Le Haut-Commissaire à la Protection nationale est responsable de la gestion de l'administration. Il en est le chef hiérarchique. 13 >Il est assisté d’un Haut-Commissaire à la Protection nationale adjoint auquel il peut déléguer certaines de ses attributions et qui le remplace en cas d’absence.13 <
Art. 11. (L du 17 juin 2022) Modifications 2
(1)Le cadre du personnel comprend un Haut-Commissaire à la Protection nationale 14 >, un Haut-Commissaire à la Protection nationale adjoint14 < et des fonctionnaires des différentes catégories de traitement telles que prévues par la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État.
(2)Le cadre du personnel peut être complété par des employés et salariés de l'État dans la limite des crédits budgétaires.
15 > Le détachement des agents appelés au Haut-Commissariat à la Protection nationale se fait par arrêté du membre du Gouvernement ayant dans ses attributions la Protection nationale avec l'accord du ministre du ressort duquel relève l'agent en cause. 15 <
Art. 12.
Un règlement grand-ducal détermine les modalités d'organisation des stages, des examens de fin de stage et des examens de promotion pour le personnel du Haut-Commissariat à la Protection nationale.
Chapitre 6 - Dispositions spéciales
Art. 13.
En cas d'imminence ou de survenance d'une crise, le Conseil de Gouvernement assure la coordination des mesures de réquisition prévues par la loi du 8 décembre 1981 sur les réquisitions en cas de conflit armé, de crise internationale grave ou de catastrophe, par le titre V de la loi modifiée du 31 mai 1999 portant création d'un corps de police grand-ducale et d'une inspection générale de la police, ainsi que par le chapitre 4 de la loi communale modifiée du 13 décembre 1988.
Art. 14.
Le Haut-Commissariat à la Protection nationale peut traiter les données personnelles nécessaires à l'exécution de la mission définie à l'article 3. Ces traitements sont soumis à la procédure d'autorisation préalable de la Commission nationale pour la protection des données telle que prévue à l'article 14 de la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel.
Chapitre 7 - Dispositions modificatives, transitoires et spéciales
Art. 15.
(1)Les fonctionnaires et employés visés à l'article 11 et relevant de la rubrique «Administration générale» telle qu'énoncée à l'article 12 de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État, en service auprès du Haut-Commissariat à la Protection nationale au moment de l'entrée en vigueur de la présente loi, sont intégrés dans le cadre du personnel du Haut-Commissariat à la Protection nationale aux grade et échelon atteints au moment de l'entrée en vigueur de la présente loi.
(2)Les fonctionnaires détachés au Haut-Commissariat à la Protection nationale au moment de la mise en vigueur de la présente loi, intégrés dans le cadre du personnel du Haut-Commissariat à la Protection nationale, et qui d'après la législation en vigueur dans leur service d'origine au moment de leur détachement avaient une perspective de carrière plus favorable pour l'accès aux différentes fonctions de leur carrière, conservent leurs anciennes possibilités d'avancement.
16 >Art. 15bis. (L du 17 juin 2022) (L du 05 mai 2026) Modifications 2
(1) 26 >Le personnel de l’ANSSI et du GOVCERT.LU26 < est repris dans le cadre du personnel du Haut-Commissariat à la Protection nationale.
(2)Les fonctionnaires disposant d’un grade de substitution ou d’une majoration d’échelon pour postes à responsabilités particulières avant la reprise continuent à en bénéficier par dépassement du nombre limite fixé en vertu des dispositions de l’article 16 de la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d’avancement des fonctionnaires de l’État aussi longtemps qu’ils restent titulaires d’un poste à responsabilités particulières. Il en est de même des employés qui bénéficient d’une telle majoration sur la base de l’article 29 de la loi modifiée du 25 mars 2015 déterminant le régime et les indemnités des employés de l’État.16 <
Art. 16.
À l'article 16 de la loi du 23 juillet 1952 concernant l'organisation militaire, telle qu'elle a été modifiée dans la suite, il est inséré un nouveau point libellé comme suit: «2) les officiers, les sous-officiers et les caporaux de carrière employés par ordre du Gouvernement auprès du Haut-Commissariat à la Protection nationale.»
L'actuel point 2) devient le point 3).
Art. 17.
La loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État est modifiée comme suit:
(1)à l'article 12, paragraphe 1er, alinéa 7, point 11°, les termes «de Haut-Commissaire à la Protection nationale,» sont insérés avant les termes «et de directeur de différentes administrations»; (2)dans l'annexe A «Classification des fonctions», Catégorie de traitement A, Groupe de traitement A1, Sousgroupe à attributions particulières, il est ajouté la mention «Haut-Commissaire à la Protection nationale» au grade 17; (3)au paragraphe b) de l'article 17, il est inséré, à la suite des termes «inspecteur général de la sécurité dans la Fonction publique», la mention «Haut-Commissaire à la Protection nationale».
Art. 18.
La loi du 8 décembre 1981 sur les réquisitions en cas de conflit armé, de crise internationale grave ou de catastrophe, est modifiée comme suit:
1)au chapitre Ier, article 1er, dernière phrase, il est ajouté en fin de phrase: «ou d'une crise, au sens de la loi portant création d'un Haut-Commissariat à la Protection nationale et modifiant a) la loi modifiée du 23 juillet 1952 concernant l'organisation militaire, b) la loi du 8 décembre 1981 sur les réquisitions en cas de conflit armé, de crise internationale grave ou de catastrophe, c) la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, d) la loi modifiée du 25 juin 2009 sur les marchés publics, e) la loi modifiée du 9 décembre 2005 déterminant les conditions et modalités de nomination de certains fonctionnaires occupant des fonctions dirigeantes dans les administrations et services de l'État, f) la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État». 2)au chapitre IV, article 8 b) in fine, il est ajouté: «5) Les agents du Haut-Commissariat à la Protection nationale».
Art. 19.
Au chapitre III, article 14 (1) de la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, il est ajouté in fine un point (h):
«
h)les traitements concernant la prévention et la gestion de crises conformément à l'article 14 de la loi du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale et modifiant a) la loi modifiée du 23 juillet 1952 concernant l'organisation militaire, b) la loi du 8 décembre 1981 sur les réquisitions en cas de conflit armé, de crise internationale grave ou de catastrophe, c) la loi modifiée du 2 août 2002 relative à la protection des personnes à l'égard du traitement des données à caractère personnel, d) la loi modifiée du 25 juin 2009 sur les marchés publics, e) la loi modifiée du 9 décembre 2005 déterminant les conditions et modalités de nomination de certains fonctionnaires occupant des fonctions dirigeantes dans les administrations et services de l'État, f) la loi modifiée du 25 mars 2015 fixant le régime des traitements et les conditions et modalités d'avancement des fonctionnaires de l'État.
»
.
Art. 20.
À l'article 1er de la loi modifiée du 9 décembre 2005 déterminant les conditions et modalités de nomination de certains fonctionnaires occupant des fonctions dirigeantes dans les administrations et services de l'État, telle qu'elle a été modifiée dans la suite, il est inséré un tiret supplémentaire libellé comme suit: «- de Haut-Commissaire à la Protection nationale.»
Art. 21.
Au livre Ier, titre III, chapitre III, article 8 (1) de la loi modifiée du 25 juin 2009 sur les marchés publics, il est ajouté in fine un point I):
«
I)pour les marchés de la protection nationale: a)pour les fournitures ou services qui sont déclarés secrets; b)pour les fournitures ou services nécessaires à la protection des intérêts vitaux ou des besoins essentiels de tout ou partie du pays ou de la population, et en particulier les fournitures ou services relatifs à la prévention et la gestion de crises; c)pour les fournitures d'effets d'équipement et de matériel d'intervention ainsi que d'effets personnels de protection et de sécurité des membres des unités d'intervention.
»
Art. 22.
La référence à la présente loi pourra se faire sous une forme abrégée en utilisant les termes «loi du 23 juillet 2016 portant création d'un Haut-Commissariat à la Protection nationale».
Art. 23.
La présente loi entre en vigueur le premier jour du deuxième mois qui suit sa publication au Mémorial.