Loi du 5 mai 2026 sur la résilience des entités critiques et portant modification de la loi modifiée du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale.
Chapitre 1er
— Champ d’application et définitions
Chapitre 2 — Autorités compétentes et point de contact national unique
Chapitre 3 — Cadre national pour la résilience des entités critiques
Chapitre 4 — Résilience des entités critiques
Chapitre 5 — Entités critiques d’importance européenne particulière
Chapitre 6 — Supervision et exécution
Chapitre 7 — Dispositions modificatives
Chapitre 8 — Intitulé de citation
Nous Guillaume, Grand-Duc de Luxembourg, Duc de Nassau,
Vu la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil ;
Le Conseil d’État entendu ;
Vu l’adoption par la Chambre des Députés ;
Vu la décision de la Chambre des Députés du 28 avril 2026 et celle du Conseil d’État du 5 mai 2026 portant qu’il n’y a pas lieu à second vote ;
Avons ordonné et ordonnons :
Chapitre 1er - Champ d’application et définitions
Art. 1er.
(1)La présente loi ne s’applique pas aux questions couvertes par la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité, sans préjudice de l’article 8.
(2)Lorsque des dispositions d’actes juridiques sectoriels de l’Union européenne exigent des entités critiques qu’elles adoptent des mesures pour renforcer leur résilience, et lorsque ces exigences ont un effet au moins équivalent aux obligations correspondantes prévues par la présente loi, les dispositions pertinentes de la présente loi, y compris les dispositions relatives à la supervision et à l’exécution prévues au chapitre 6, ne s’appliquent pas.
La liste des actes juridiques sectoriels de l’Union européenne ayant un effet au moins équivalent à la présente loi est arrêtée par règlement grand-ducal.
Art. 2.
Pour l’application de la présente loi, on entend par :
1°« entité critique » : une entité publique ou privée qui a été désignée conformément à l’article 7 comme appartenant à l’une des catégories qui figurent dans la troisième colonne du tableau de l’annexe ; 2°« résilience » : la capacité d’une entité critique à prévenir tout incident, à s’en protéger, à y réagir, à y résister, à l’atténuer, à l’absorber, à s’y adapter et à s’en rétablir ; 3°« incident » : un événement qui perturbe ou est susceptible de perturber de manière importante la fourniture d’un service essentiel, y compris lorsqu’il affecte les systèmes nationaux qui préservent l’état de droit ; 4°« infrastructure critique » : un bien, une installation, un équipement, un réseau ou un système, ou une partie d’un bien, d’une installation, d’un équipement, d’un réseau ou d’un système, qui est nécessaire à la fourniture d’un service essentiel ; 5°« service essentiel » : un service qui est crucial pour le maintien de fonctions sociétales ou d’activités économiques vitales, de la santé publique et de la sûreté publique, ou de l’environnement ; 6°« maintien de fonctions sociétales vitales » : la disponibilité de services indispensables à la sauvegarde des intérêts vitaux ou des besoins essentiels de tout ou partie du pays ou de la population ; 7°« risque » : le potentiel de perte ou de perturbation causé par un incident, à exprimer comme la combinaison de l’ampleur de cette perte ou de cette perturbation et la probabilité que l’incident se produise ; 8°« évaluation des risques » : l’ensemble du processus permettant de déterminer la nature et l’étendue d’un risque en déterminant et en analysant les menaces, les vulnérabilités et les dangers potentiels pertinents qui pourraient conduire à un incident et en évaluant la perte ou la perturbation potentielle de la fourniture d’un service essentiel causée par cet incident ; 9°« entité de l’administration publique » : toute entité, à l’exclusion des cours et tribunaux, de la Chambre des députés et de la Banque centrale du Luxembourg, qui satisfait aux critères suivants :a)elle a été créée pour satisfaire des besoins d’intérêt général et n’a pas de caractère industriel ou commercial ; b)elle est dotée de la personnalité juridique ou est juridiquement habilitée à agir pour le compte d’une autre entité dotée de la personnalité juridique ; c)elle est financée majoritairement par les autorités de l’État ou d’autres organismes de droit public de niveau central, ou sa gestion est soumise à un contrôle de la part de ces autorités ou organismes, ou son organe d’administration, de direction ou de surveillance est composé, pour plus de la moitié, de membres désignés par les autorités de l’État ou d’autres organismes de droit public de niveau central ; d)elle a le pouvoir d’adresser à des personnes physiques ou morales des décisions administratives ou réglementaires affectant leurs droits en matière de mouvements transfrontières des personnes, des biens, des services ou des capitaux.
Chapitre 2 - Autorités compétentes et point de contact national unique
Art. 3.
La Commission de surveillance du secteur financier est l’autorité compétente chargée de veiller à l’application correcte de la présente loi pour le secteur bancaire et le secteur des infrastructures des marchés financiers, figurant aux points 3° et 4° du tableau de l’annexe, ainsi que le secteur des infrastructures numériques, figurant au point 8° du tableau de l’annexe, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier.
Le Haut-Commissariat à la Protection nationale est l’autorité compétente chargée de veiller à l’application correcte de la présente loi pour les autres secteurs visés à l’annexe, ainsi que le secteur des infrastructures numériques, figurant au point 8° du tableau de l’annexe, pour les activités qui ne tombent pas sous la surveillance de la Commission de surveillance du secteur financier.
L’obligation au secret professionnel prévue par l’article 16 de la loi modifiée du 23 décembre 1998 portant création d’une commission de surveillance du secteur financier ne fait pas obstacle à l’échange d’informations confidentielles entre les autorités compétentes dans le cadre et aux seules fins de la présente loi et des mesures prises pour son exécution.
Art. 4.
Le Haut-Commissariat à la Protection nationale constitue le point de contact national unique chargé d’exercer une fonction de liaison afin d’assurer la coopération transfrontière avec les points de contact uniques des autres États membres de l’Union européenne et avec le groupe sur la résilience des entités critiques visé à l’article 19 de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil. En outre, le point de contact national unique exerce une fonction de liaison avec la Commission européenne et assure la coopération avec les pays tiers.
Chapitre 3 - Cadre national pour la résilience des entités critiques
Art. 5.
Le Haut-Commissariat à la Protection nationale élabore, après consultation de la Commission de surveillance du secteur financier, une stratégie visant à renforcer la résilience des entités critiques qui définit des objectifs stratégiques et des mesures politiques, en s’appuyant sur des stratégies nationales et sectorielles, des plans ou des documents similaires pertinents existants, en vue d’atteindre et de maintenir un niveau élevé de résilience des entités critiques et de couvrir au moins les secteurs figurant à l’annexe.
La stratégie contient les éléments suivants :
1°les objectifs stratégiques et les priorités aux fins de renforcer la résilience globale des entités critiques, compte tenu des dépendances et des interdépendances transfrontières et transsectorielles ; 2°un cadre de gouvernance permettant d’atteindre les objectifs stratégiques et les priorités, y compris une description des rôles et des responsabilités des différentes autorités, entités critiques et autres parties participant à la mise en œuvre de la stratégie ; 3°une description des mesures nécessaires pour renforcer la résilience globale des entités critiques, y compris une description de l’évaluation des risques visée à l’article 6 ; 4°une description du processus par lequel les entités critiques sont recensées ; 5°une description du processus de soutien aux entités critiques conformément au présent chapitre, y compris les mesures visant à renforcer la coopération entre le secteur public, d’une part, et le secteur privé et les entités publiques et privées, d’autre part ; 6°une liste des principales autorités et parties prenantes concernées, autres que les entités critiques, participant à la mise en œuvre de la stratégie ; 7°un cadre d’action pour la coordination entre les autorités compétentes au sens de la présente loi et les autorités compétentes en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité aux fins du partage d’informations sur les risques, menaces et incidents en matière de cybersécurité ainsi que sur les risques, menaces et incidents non liés à la cybersécurité, et de l’exercice des tâches de supervision ; 8°une description des mesures déjà en place visant à faciliter la mise en œuvre des obligations prévues au chapitre 4 par les petites et moyennes entreprises au sens de l’annexe de la recommandation 2003/361/CE de la Commission du 6 mai 2003 concernant la définition des micro, petites et moyennes entreprises recensées en tant qu’entités critiques.
À la suite d’une consultation qui est, dans la mesure du possible en pratique, ouverte aux parties prenantes concernées, le Haut-Commissariat à la Protection nationale met à jour la stratégie au moins tous les quatre ans.
Art. 6.
(1)Le Haut-Commissariat à la Protection nationale effectue une évaluation des risques sur base des services essentiels identifiés par la Commission européenne. Cette évaluation des risques est utilisée pour recenser les entités critiques conformément à l’article 7 et pour aider les entités critiques à adopter des mesures en vertu de l’article 12.
(2)Afin de procéder à l’évaluation des risques, le Haut-Commissariat à la Protection nationale tient compte des éléments suivants :
1°l’analyse des risques qui tient compte des risques naturels et d’origine humaine pertinents, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides ou autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par le Code pénal ; 2°l’évaluation des risques générale effectuée en vertu de l’article 6, paragraphe 1er, de la décision n° 1313/2013/UE du Parlement européen et du Conseil du 17 décembre 2013 relative au mécanisme de protection civile de l’Union européenne ; 3°d’autres évaluations des risques pertinentes effectuées conformément aux exigences des actes juridiques sectoriels pertinents de l’Union européenne, y compris le règlement (UE) 2017/1938 du Parlement européen et du Conseil du 25 octobre 2017 concernant des mesures visant à garantir la sécurité de l’approvisionnement en gaz naturel et abrogeant le règlement (UE) n° 994/2010, tel que modifié, et le règlement (UE) 2019/941 du Parlement européen et du Conseil du 5 juin 2019 sur la préparation aux risques dans le secteur de l’électricité et abrogeant la directive 2005/89/CE, ainsi que la loi modifiée du 19 décembre 2008 relative à l’eau et la loi du 28 avril 2017 concernant la maîtrise des dangers liés aux accidents majeurs impliquant des substances dangereuses ; 4°les risques pertinents découlant de la mesure dans laquelle les secteurs figurant à l’annexe dépendent les uns des autres, y compris de la mesure dans laquelle ils dépendent d’entités situées dans d’autres États membres de l’Union européenne et des pays tiers, et l’incidence qu’une perturbation importante dans un secteur peut avoir sur d’autres secteurs, y compris tout risque important pour les citoyens et le marché intérieur ; 5°toute information sur les incidents notifiés conformément à l’article 16.
Aux fins de l’alinéa 1er, point 4°, le Haut-Commissariat à la Protection nationale coopère avec les autorités compétentes d’autres États membres de l’Union européenne en vertu de la directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil et les autorités compétentes de pays tiers, s’il y a lieu.
(3)Le Haut-Commissariat à la Protection nationale met à la disposition des entités critiques recensées conformément à l’article 7, les éléments pertinents des évaluations des risques.
Art. 7.
(1)Les autorités compétentes recensent les entités critiques et leurs infrastructures critiques afférentes pour les secteurs et sous-secteurs figurant à l’annexe, dans leurs champs de compétences respectifs.
La désignation d’une entité critique et de ses infrastructures critiques fait l’objet d’un arrêté grand-ducal.
(2)Lorsqu’une autorité compétente recense les entités critiques en vertu du paragraphe 1er, elle tient compte des résultats de l’évaluation des risques effectuée en vertu de l’article 6 et de la stratégie visée à l’article 5 et applique tous les critères suivants :
1°l’entité fournit un ou plusieurs services essentiels ; 2°l’entité exerce ses activités sur le territoire luxembourgeois et son infrastructure critique est située sur ledit territoire ; et 3°un incident aurait des effets perturbateurs importants, déterminés conformément au paragraphe 3, sur la fourniture par l’entité d’un ou de plusieurs services essentiels ou sur la fourniture d’autres services essentiels dans les secteurs figurant à l’annexe qui dépendent dudit ou desdits services essentiels.
L’entité critique est tenue de mettre à la disposition de l’autorité compétente toutes les données sollicitées aux fins du recensement, de la désignation et de la protection des entités critiques.
(3)L’importance d’un effet perturbateur visé au paragraphe 2, point 3°, est déterminée sur base des critères suivants :
1°le nombre d’utilisateurs tributaires du service essentiel fourni par l’entité concernée ; 2°la mesure dans laquelle les autres secteurs et sous-secteurs figurant à l’annexe dépendent du service essentiel en question ; 3°l’impact que des incidents pourraient avoir, du point de vue de l’ampleur et de la durée, sur les activités économiques et sociétales, l’environnement, la sûreté et la sécurité publiques, ou la santé de la population ; 4°la part de marché de l’entité sur le marché du ou des services essentiels concernés ; 5°la zone géographique susceptible d’être affectée par un incident, y compris toute incidence transfrontière, compte tenu de la vulnérabilité associée au degré d’isolement de certains types de zones géographiques ; 6°l’importance que revêt l’entité pour le maintien d’un niveau suffisant de service essentiel, compte tenu de la disponibilité de solutions de rechange pour la fourniture de ce service essentiel.
(4)Les autorités compétentes dressent une liste des entités critiques recensées et désignées en vertu du paragraphe 2 et informent ces entités critiques qu’elles ont été désignées en tant qu’entité critique dans un délai d’un mois à compter de cette désignation. Les autorités compétentes informent ces entités critiques des obligations qui leur incombent en vertu des chapitres 4 et 5 et de la date à partir de laquelle ces obligations leur sont applicables, sans préjudice de l’article 8. Les autorités compétentes informent les entités critiques des secteurs figurant aux points 3° et 4° du tableau de l’annexe qu’elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5. De même, les autorités compétentes informent les entités critiques du secteur figurant au point 8° du tableau de l’annexe qu’elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier.
Le chapitre 4 s’applique aux entités critiques concernées à l’expiration d’un délai de dix mois à compter de la date de la notification visée à l’alinéa 1er.
(5)L’entité critique, à la suite de la notification visée au paragraphe 4, informe son autorité compétente lorsqu’elle fournit des services essentiels à ou dans six États membres de l’Union européenne ou plus. En pareil cas, l’entité critique informe son autorité compétente au sujet des services essentiels qu’elle fournit à ou dans ces États membres et au sujet des États membres auxquels ou dans lesquels elle fournit ces services essentiels. Les dispositions du chapitre 5 s’appliquent.
(6)Les autorités compétentes notifient aux autorités compétentes en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité l’identité des entités critiques qu’ils ont recensées et désignées dans un délai d’un mois à compter de la désignation. Cette notification précise, le cas échéant, que les entités critiques concernées sont des entités des secteurs figurant aux points 3° et 4° du tableau de l’annexe et qu’elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5. De même, cette notification précise, le cas échéant, que les entités critiques concernées sont des entités des secteurs figurant au point 8° du tableau de l’annexe et qu’elles ne sont soumises à aucune des obligations prévues aux chapitres 4 et 5, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier.
(7)Si nécessaire et en tout état de cause au moins tous les quatre ans, les autorités compétentes réexaminent et, s’il y a lieu, mettent à jour la liste des entités critiques recensées et désignées visées au paragraphe 4. Lorsque ces mises à jour entraînent le recensement et la désignation d’entités critiques supplémentaires, les paragraphes 4 à 6 s’appliquent à ces entités critiques supplémentaires. En outre, les autorités compétentes notifient en temps utile les entités qui ne sont plus recensées en tant qu’entités critiques, à la suite d’une telle mise à jour, de ce fait et du fait qu’elles ne sont plus soumises aux obligations prévues au chapitre 4 à compter de la date de réception de cette notification.
Art. 8.
L’article 10 et les chapitres 4, 5 et 6 ne s’appliquent pas :
1°aux entités critiques recensées dans les secteurs figurant aux points 3° et 4° du tableau de l’annexe ; 2°aux entités critiques recensées dans le secteur figurant au point 8° du tableau de l’annexe, pour les activités qui tombent sous la surveillance de la Commission de surveillance du secteur financier ; 3°au Service de renseignement de l’État visé par la loi modifiée du 5 juillet 2016 portant réorganisation du Service de renseignement de l’État ; 4°aux services du ministre ayant la Défense dans ses attributions ; 5°à l’Armée luxembourgeoise visée par la loi modifiée du 7 août 2023 sur l’organisation de l’Armée luxembourgeoise.
Art. 9.
(1)Les autorités compétentes aident les entités critiques à renforcer leur résilience.
(2)Les autorités compétentes coopèrent et échangent des informations et des bonnes pratiques avec les entités critiques des secteurs figurant à l’annexe.
Art. 10.
Chaque fois que cela est approprié, l’autorité compétente se consulte avec les autorités compétentes des autres États membres de l’Union européenne au sujet des entités critiques aux fins d’assurer l’application cohérente de la présente loi. Ces consultations ont lieu en particulier au sujet des entités critiques qui :
1°utilisent des infrastructures critiques qui sont physiquement connectées entre deux États membres de l’Union européenne ou plus ; 2°font partie de structures d’entreprise qui sont connectées ou liées à des entités critiques dans d’autres États membres de l’Union européenne ; 3°ont été recensées en tant qu’entités critiques dans un État membre de l’Union européenne et fournissent des services essentiels à ou dans d’autres États membres de l’Union européenne.
Chapitre 4 - Résilience des entités critiques
Art. 11.
(1)Sans préjudice de l’article 7, paragraphe 4, alinéa 2, les entités critiques procèdent à une évaluation des risques dans un délai de neuf mois suivant la réception de la notification visée à l’article 7, paragraphe 4, et ensuite, selon les besoins, mais au moins tous les quatre ans, sur la base de l’évaluation des risques visée à l’article 6 et d’autres sources d’informations pertinentes, afin d’évaluer tous les risques pertinents qui pourraient perturber la fourniture de leurs services essentiels, ci-après dénommée « évaluation des risques d’entité critique ».
(2)Les évaluations des risques d’entités critiques rendent compte de tous les risques naturels et d’origine humaine pertinents, susceptibles d’entraîner un incident, y compris ceux qui revêtent un caractère transsectoriel ou transfrontière, des accidents, des catastrophes naturelles, des urgences de santé publique et des menaces hybrides et autres menaces antagonistes, lesquelles comprennent les infractions terroristes prévues par le Code pénal. Une évaluation des risques d’entité critique tient compte de la mesure dans laquelle d’autres secteurs figurant à l’annexe dépendent du service essentiel fourni par l’entité critique et de la mesure dans laquelle cette entité critique dépend des services essentiels fournis par d’autres entités de ces autres secteurs, y compris s’il y a lieu, dans les États membres de l’Union européenne voisins et les pays tiers.
Lorsqu’une entité critique a réalisé d’autres évaluations des risques ou établi des documents en vertu d’obligations prévues dans d’autres actes juridiques qui sont pertinents pour son évaluation des risques d’entité critique, elle peut utiliser ces évaluations et documents pour satisfaire aux exigences énoncées dans le présent article. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer qu’une évaluation des risques existante réalisée par une entité critique qui porte sur les risques et le degré de dépendance visés à l’alinéa 1er respecte, en tout ou en partie, les obligations prévues par le présent article.
Art. 12.
(1)Les entités critiques prennent des mesures techniques, des mesures de sécurité et des mesures organisationnelles appropriées et proportionnées pour garantir leur résilience, sur la base des informations pertinentes fournies par l’autorité compétente concernant l’évaluation des risques visée à l’article 6 et les résultats de l’évaluation des risques d’entité critique, y compris des mesures nécessaires pour :
1°prévenir la survenance d’incidents, en tenant dûment compte de mesures de réduction des risques de catastrophe et d’adaptation au changement climatique ; 2°assurer une protection physique adéquate de leurs locaux et infrastructures critiques ; 3°réagir et résister aux conséquences des incidents et les atténuer, en prenant dûment en considération la mise en œuvre de procédures et protocoles de gestion des risques et des crises et de procédures d’alerte ; 4°se rétablir d’incidents, en prenant dûment en considération des mesures assurant la continuité des activités et la détermination d’autres chaînes d’approvisionnement, afin de reprendre la fourniture du service essentiel ; 5°assurer une gestion adéquate de la sécurité liée au personnel, en prenant dûment en considération des mesures telles que la définition des catégories de personnel qui exercent des fonctions critiques, l’établissement de droits d’accès aux locaux, aux infrastructures critiques et aux informations sensibles, la mise en place de procédures de vérification des antécédents conformément aux articles 13 à 15, la désignation des catégories de personnes tenues de faire l’objet de telles vérifications des antécédents et la définition d’exigences et de qualifications appropriées en matière de formation ; 6°sensibiliser le personnel concerné aux mesures visées aux points 1° à 5°, en tenant dûment compte des séances de formation, du matériel d’information et des exercices.
Aux fins de l’alinéa 1er, point 5°, les entités critiques tiennent compte du personnel des prestataires de services extérieurs lorsqu’ils définissent les catégories de personnel qui exercent des fonctions critiques.
(2)Les entités critiques mettent en place et appliquent un plan de résilience ou un ou plusieurs documents équivalents, qui décrivent les mesures prises en application du paragraphe 1er. Lorsque les entités critiques ont élaboré des documents ou pris des mesures en vertu d’obligations prévues dans d’autres actes juridiques qui sont pertinents pour les mesures visées au paragraphe 1er, elles peuvent utiliser ces documents et mesures pour satisfaire aux exigences énoncées dans le présent article. Dans l’exercice de ses fonctions de supervision, l’autorité compétente peut déclarer que des mesures existantes de renforcement de la résilience prises par une entité critique qui portent, de manière appropriée et proportionnée, sur les mesures techniques, les mesures de sécurité et les mesures organisationnelles visées au paragraphe 1er respectent, en tout ou en partie, les obligations prévues par le présent article.
(3)Chaque entité critique désigne un agent de liaison ou une personne ayant une fonction équivalente en tant que point de contact avec l’autorité compétente.
Art. 13.
(1)La Police grand-ducale procède, sur demande de l’entité critique et dans le seul but d’évaluer un risque potentiel pour la sécurité de l’entité concernée, à des vérifications des antécédents des personnes :
1°qui occupent des fonctions sensibles au sein de l’entité critique ou au bénéfice de celle-ci, notamment en ce qui concerne la résilience de l’entité critique ; 2°qui occupent la fonction de responsable du système informatique ou du système de contrôle de l’entité critique ; ou 3°dont le recrutement est envisagé à des postes répondant aux critères énoncés aux points 1° ou 2°.
Par rapport aux données qu’elle traite dans ce contexte, la Police grand-ducale est le responsable du traitement tel que défini par la loi du 1er août 2018 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel en matière pénale ainsi qu’en matière de sécurité.
Préalablement à l’introduction de la demande de vérification des antécédents, les catégories de personnes tenues de faire l’objet d’une vérification des antécédents désignées dans le cadre des mesures prévues à l’article 12, sont approuvées par l’autorité compétente. Une copie de cette approbation est transmise à la Police grand-ducale.
(2)La demande visée au paragraphe 1er contient les éléments suivants :
1°l’identité de la personne visée au paragraphe 1er : noms et prénoms, date et lieu de naissance, résidence, nationalité, numéro d’identification national et numéro de la pièce d’identité ainsi qu’une photographie récente ; 2°la nature du contrat de travail ou de la relation juridique liant la personne visée au paragraphe 1er à l’entité critique ; 3°la déclaration écrite ou électronique de la personne visée au paragraphe 1er, contenant l’autorisation de procéder à une vérification des antécédents ; 4°une liste des lieux de résidence des cinq dernières années et un certificat de résidence datant de moins de trois mois ; 5°un extrait du casier judiciaire des pays où la personne visée au paragraphe 1er a résidé les cinq dernières années ou dont elle a la nationalité, à l’exception du Luxembourg, datant de moins de trois mois ; 6°l’accord de la personne visée au paragraphe 1er, que le bulletin N° 2 du casier judiciaire puisse être délivré directement à la Police grand-ducale ; 7°la signature de la personne visée au paragraphe 1er ; 8°le cachet et la signature de l’entité dont relève la personne visée au paragraphe 1er, précédés d’une attestation de ladite entité certifiant le bien-fondé et les motifs de la demande ; 9°une documentation concernant les emplois et les études au cours des cinq dernières années ; 10°une photocopie de la carte d’identité ou du passeport en cours de validité ; 11°un questionnaire biographique dûment rempli.
La Police grand-ducale, dans le cadre de ses recherches :
1°consulte les fichiers visés à l’article 43, paragraphe 1er, points 1°, 2° et 14° de la loi modifiée du 18 juillet 2018 sur la Police grand-ducale, pour autant que cette consultation soit pertinente quant à la finalité recherchée ; 2°adresse une demande motivée au procureur général d’État en vue de l’obtention d’un extrait du casier judiciaire de l’autorité compétente de l’État membre de l’Union européenne dont la personne a la nationalité ou de l’autorité compétente de l’État membre de l’Union européenne dans lequel la personne a résidé au cours des cinq dernières années si la personne visée à l’article 13, paragraphe 1er, possède la nationalité d’un pays étranger ou réside dans un pays étranger et sous condition de disposer de l’accord écrit ou électronique de cette personne ; 3°consulte tout employeur de la personne concernée ou tout établissement d’éducation fréquenté par la personne concernée afin de vérifier l’authenticité des informations fournies.
(3)La Police grand-ducale procède à la vérification des antécédents sur une période de cinq ans précédant la demande.
Toute demande incomplète est retournée à l’entité critique requérante et non traitée.
(4)Au terme de la vérification, la Police grand-ducale émet, en application de l’alinéa 2, un avis relatif au risque potentiel que la personne visée au paragraphe 1er représente pour la sécurité de l’entité critique.
La personne visée au paragraphe 1er est considérée comme présentant un risque pour la sécurité de l’entité critique s’il est constaté qu’elle a :
1°commis ou tenté de commettre une des infractions contre la sûreté de l’État visées aux articles 101 à 135-17 du Code pénal ; 2°commis ou tenté de commettre une des infractions de faux en écriture et d’usage de faux en écriture visées aux articles 194 à 197 du Code pénal ; 3°commis ou tenté de commettre une des infractions de corruption visées aux articles 246 à 250 du Code pénal ; 4°commis ou tenté de commettre une des infractions d’escroquerie et de tromperie visées aux article 496 à 501 du Code pénal ; ou 5°sciemment fait des fausses déclarations en relation avec la demande de vérification des antécédents.
La Police grand-ducale transmet cet avis motivé au ministre ayant la Protection nationale dans ses attributions, ci-après « ministre ».
Art. 14.
(1)Le ministre émet une décision relative au risque potentiel que la personne visée à l’article 13, paragraphe 1er, représente pour la sécurité de l’entité critique, en prenant en considération l’avis de la Police grand-ducale.
(2)Le ministre notifie la décision motivée relative à la vérification des antécédents à la personne visée à l’article 13, paragraphe 1er.
(3)Le ministre transmet la décision à l’entité critique requérante sans lui communiquer les informations personnelles qu’il a reçues dans l’avis de la Police grand-ducale. L’entité critique requérante est tenue de suivre la décision du ministre.
(4)La personne visée à l’article 13, paragraphe 1er, au sujet de laquelle le ministre a constaté, à travers sa décision visée au paragraphe 1er, qu’elle présente un risque pour la sécurité de l’entité critique peut, sur demande écrite et dans un délai de trente jours à partir de la date de notification de la décision, à adresser au ministre, solliciter l’accès au dossier sur lequel est fondée sa décision.
Elle peut, à cette fin, consulter toutes les pièces du dossier constitué par le ministre dans le cadre de la prise de décision relative à la vérification des antécédents.
La demande introduite auprès du ministre n’interrompt pas les délais de recours devant les juridictions administratives.
(5)La décision du ministre visée au paragraphe 1er a une durée de validité de cinq ans. Une demande de renouvellement pour une vérification des antécédents est à introduire par l’entité critique au plus tôt six mois et au plus tard quatre mois avant la fin de validité de la décision du ministre.
La décision de renouvellement de la vérification des antécédents prend effet à la fin de validité de la décision antérieure.
Art. 15.
(1)La Police grand-ducale met en place un système informatique centralisé permettant de faciliter la gestion administrative des demandes de vérification des antécédents.
(2)Les données à caractère personnel en relation avec les vérifications des antécédents sont détruites six mois après une décision ayant acquis force de chose décidée ou jugée.
(3)Lors de l’effacement des données à caractère personnel par la Police grand-ducale et dans un but de retraçage et de protection des preuves, une fiche succincte est conservée pendant un délai maximal de cinq ans. Celle-ci contient les informations suivantes :
1°les nom, prénom, date et lieu de naissance, ainsi que le numéro d’identification national et les nationalités de la personne visée à l’article 13, paragraphe 1er ; 2°la mention d’avis « positif » ou « négatif » ; 3°la date d’émission de l’avis.
Art. 16.
(1)Les entités critiques notifient sans retard injustifié à l’autorité compétente les incidents qui perturbent ou sont susceptibles de perturber de manière importante la fourniture de services essentiels. Sauf à être dans l’incapacité de le faire pour des raisons opérationnelles, les entités critiques présentent une première notification au plus tard vingt-quatre heures après avoir pris connaissance d’un incident, suivie, s’il y a lieu, d’un rapport détaillé au plus tard un mois après. Afin de déterminer l’importance de la perturbation, les paramètres suivants sont, en particulier, pris en compte :
1°le nombre et la proportion d’utilisateurs affectés par la perturbation ; 2°la durée de la perturbation ; 3°la zone géographique concernée par la perturbation, en tenant compte de son éventuel isolement géographique.
Les paramètres permettant de déterminer l’importance de la perturbation sont précisés par règlement grand-ducal.
(2)Les notifications visées au paragraphe 1er comprennent toutes les informations disponibles nécessaires pour permettre à l’autorité compétente de comprendre la nature, la cause et les conséquences possibles de l’incident, y compris toute information disponible nécessaire pour déterminer tout impact transfrontière de l’incident. Ces notifications n’ont pas pour effet de soumettre les entités critiques à une responsabilité accrue.
(3)Sur la base des informations fournies par une entité critique dans une notification visée au paragraphe 1er, l’autorité compétente, par l’intermédiaire du point de contact unique, informe le point de contact unique des autres États membres de l’Union européenne affectés lorsque l’incident a ou pourrait avoir un impact important sur les entités critiques et sur la continuité de la fourniture de services essentiels à ou dans un ou plusieurs autres États membres de l’Union européenne.
Le point de contact unique qui envoie et reçoit des informations en vertu de l’alinéa 1er traite ces informations de manière à en respecter la confidentialité et à préserver la sécurité et les intérêts commerciaux de l’entité critique concernée.
(4)Dès que possible après la réception d’une notification visée au paragraphe 1er, l’autorité compétente fournit à l’entité critique concernée des informations de suivi pertinentes, y compris des informations qui pourraient aider ladite entité critique à réagir efficacement à l’incident en question. L’autorité compétente informe le public lorsqu’elle estime qu’il serait dans l’intérêt général de le faire.
Chapitre 5 - Entités critiques d’importance européenne particulière
Art. 17.
(1)Une entité est considérée comme une entité critique d’importance européenne particulière lorsqu’elle :
1°a été désignée en tant qu’entité critique conformément à l’article 7, paragraphe 1er ; 2°fournit les mêmes services essentiels ou des services essentiels similaires à ou dans six États membres de l’Union européenne ou plus ; et 3°a fait l’objet d’une notification de la part de la Commission européenne, par l’intermédiaire de son autorité compétente, qu’elle est considérée comme une entité critique d’importance européenne particulière.
(2)Les entités critiques d’importance européenne particulière accordent aux missions de conseil organisées par la Commission européenne afin d’évaluer les mesures mises en place par ladite entité pour satisfaire aux obligations qui lui incombent en vertu du chapitre 4, l’accès aux informations, systèmes et installations relatifs à la fourniture de leurs services essentiels nécessaires à l’exécution de la mission de conseil concernée.
Chapitre 6 - Supervision et exécution
Art. 18.
(1)Afin d’évaluer le respect des obligations découlant de la présente loi, l’autorité compétente est autorisée à :
1°procéder à des inspections sur place de l’infrastructure critique et des locaux utilisés par l’entité critique pour fournir ses services essentiels afin de s’assurer de la mise en œuvre des mesures prises par les entités critiques conformément à l’article 12 ; 2°procéder à la supervision à distance des mesures prises par les entités critiques conformément à l’article 12 ; 3°ordonner un audit visant à contrôler la mise en œuvre effective des mesures prises par les entités critiques conformément à l’article 12.
Les inspections sur place prévues à l’alinéa 1er, point 1°, se font entre huit heures et dix-sept heures, moyennant préavis d’au moins deux semaines, par un agent du groupe de traitement ou du groupe d’indemnité A1 ou A2 de l’autorité compétente. Ces inspections pourront se dérouler en dehors de cette plage horaire, en cas d’accord de l’entité critique.
Les agents visés à l’alinéa 2 signalent leur présence à l’agent de liaison de l’entité critique ou, le cas échéant, à son remplaçant. Ce dernier peut les accompagner et leur prêter concours, le cas échéant, pour mener à bien les inspections.
L’agent visé à l’alinéa 2 est tenu de dresser un rapport relatif à l’inspection opérée. Une copie de ce rapport est transmise à l’agent de liaison de l’entité critique.
(2)Les entités en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité désignées en tant qu’entités critiques en vertu de la présente loi sont tenues de fournir à l’autorité compétente, dans un délai raisonnable fixé par celle-ci :
1°les informations nécessaires pour évaluer si les mesures prises par ces entités pour garantir leur résilience satisfont aux exigences énoncées à l’article 12 ; 2°la preuve de la mise en œuvre effective de ces mesures, y compris les résultats d’un audit effectué par un auditeur indépendant et qualifié sélectionné par ladite entité et effectué à ses frais.
Ces données comprennent toutes les informations qui sont nécessaires dans le contexte de la prévention ou de la gestion d’une crise en vertu de la loi modifiée du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale.
Lorsqu’elle requiert ces informations, l’autorité compétente mentionne la finalité de la demande et précisent les informations exigées.
(3)Sans préjudice de la possibilité d’imposer des sanctions conformément à l’article 19, l’autorité compétente peut, à la suite des mesures de supervision visées au paragraphe 1er ou de l’évaluation des informations visées au paragraphe 2, enjoindre aux entités critiques concernées de prendre les mesures nécessaires et proportionnées pour remédier à toute violation constatée de la présente loi, dans un délai raisonnable fixé par ladite autorité, et de lui fournir des informations sur les mesures prises. Ces injonctions tiennent compte, notamment, de la gravité de la violation.
(4)Lorsque l’autorité compétente évalue le respect par une entité critique de ses obligations en vertu du présent article, elle en informe les autorités compétentes nationales en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité. À cette fin, l’autorité compétente demande aux autorités compétentes nationales en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité d’exercer leurs pouvoirs de supervision et d’exécution à l’égard d’une entité relevant de ladite directive qui a été désignée en tant qu’entité critique en vertu de la présente loi. À cette fin, l’autorité compétente coopère et échange des informations avec les autorités nationales compétentes en vertu de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité.
Art. 19.
(1)Lorsque l’autorité compétente constate une violation des obligations prévues par les articles 11, paragraphes 1er et 2, alinéa 1er, 12, paragraphes 1er à 3, 14, paragraphe 3, 16, paragraphes 1er et 2, 17, paragraphe 2, et 18, paragraphe 2, alinéas 1er et 2, elle peut frapper l’entité critique concernée d’une ou de plusieurs des sanctions suivantes :
1°un avertissement ; 2°un blâme ; 3°une amende administrative, dont le montant est proportionné à la gravité du manquement, à la situation de l’intéressé, à l’ampleur du dommage et aux avantages qui en sont tirés sans pouvoir excéder 250 000 euros.
(2)En cas de constatation d’un fait susceptible de constituer un manquement visé au paragraphe 1er, l’autorité compétente engage une procédure contradictoire dans laquelle l’entité critique concernée a la possibilité de consulter le dossier et de présenter ses observations écrites ou verbales. L’entité critique concernée peut se faire assister ou représenter par une personne de son choix. À l’issue de la procédure contradictoire, l’autorité compétente peut prononcer à l’encontre de l’entité critique concernée une ou plusieurs des sanctions visées au paragraphe 1er.
(3)Les décisions prises par l’autorité compétente à l’issue de la procédure contradictoire sont motivées et notifiées à l’entité critique concernée.
(4)Contre les décisions visées au paragraphe 3 un recours en réformation est ouvert devant le tribunal administratif.
(5)L’Administration de l’enregistrement, des domaines et de la TVA est chargée du recouvrement des amendes administratives qui lui sont communiquées par l’autorité compétente moyennant la transmission d’une copie des décisions de fixation. Le recouvrement est poursuivi comme en matière d’enregistrement.
Chapitre 7 - Dispositions modificatives
Art. 20.
La loi modifiée du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale est modifiée comme suit :
1°À l’article 1er, alinéa 1er, les termes « infrastructures critiques » sont remplacés par ceux de « entités critiques » ; 2°L’article 2, point 4°, est remplacé par le texte suivant :
« 4. entité critique » : une entité au sens de la loi du 5 mai 2026 sur la résilience des entités critiques ; » ;
3°L’article 3 est modifié comme suit :a)Le paragraphe 1er, lettre b), point 3°, est remplacé par le texte suivant :
« 3.de veiller à l’exécution des mesures relatives à la résilience des entités critiques en application de la loi du 5 mai 2026 sur la résilience des entités critiques ; » ;
b)Aux paragraphes 1ter, lettre g), 1quater, lettres a) et b), et 3, première phrase, les termes « infrastructures critiques » sont remplacés par ceux de « entités critiques » ;
4°L’intitulé du chapitre 4 est remplacé par l’intitulé suivant :
« Chapitre 4 - La protection des entités critiques » ;
5°Les articles 4 à 8 sont abrogés ; 6°À l’article 9, alinéa 1er, les termes « infrastructure critique » sont remplacés par ceux de « entité critique » et le terme « infrastructure » est remplacé par celui de « entité ».
Chapitre 8 - Intitulé de citation
Art. 21.
La référence à la présente loi se fait sous la forme suivante : « loi du 5 mai 2026 sur la résilience des entités critiques ».
Mandons et ordonnons que la présente loi soit insérée au Journal officiel du Grand-Duché de Luxembourg pour être exécutée et observée par tous ceux que la chose concerne.
Le Premier ministre, Luc Frieden
Fait le 5 mai 2026. Guillaume
Doc. parl. 8307 ; Dir. (UE) 2022/2557 ; sess. ord. 2022-2023 et législature 2023-2028.
ANNEXE
Secteurs, sous-secteurs et catégories d’entités
Secteurs
Sous-secteurs
Catégories d’entités
- Énergie
a)Électricité
Entreprises d’électricité au sens de l’article 1er, point 14°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité, qui assurent la fonction de « fourniture » au sens de l’article 1er, point 21°, de la même loi
Gestionnaires de réseau de distribution au sens de l’article 1er, point 24°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité
Gestionnaires de réseau de transport au sens de l’article 1er, point 25°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité
Producteurs au sens de l’article 1er, point 39°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité
Opérateurs désignés du marché de l’électricité au sens de l’article 2, point 8°, du règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l’électricité, tel que modifié
Acteurs du marché au sens de l’article 2, point 25°, du règlement (UE) 2019/943 du Parlement européen et du Conseil du 5 juin 2019 sur le marché intérieur de l’électricité, tel que modifié, qui fournissent des services d’agrégation, de participation active de la demande ou de stockage d’énergie au sens de l’article 1er, points 1quindecies°, 31quater° et 49ter°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de l’électricité
b)Réseaux de chaleur et de froid
Opérateurs de réseaux de chaleur ou de réseau de froid au sens de l’article 2, point 19°, de la directive (UE) 2018/2001 du Parlement européen et du Conseil du 11 décembre 2018 relative à la promotion de l’utilisation de l’énergie produite à partir de sources renouvelables
c)Pétrole
Exploitants d’oléoducs
Exploitants d’installations de production, de raffinage, de traitement, de stockage et de transport de pétrole
Entités centrales de stockage au sens de l’article 1er, lettre g), de la loi modifiée du 10 février 2015 relative à l’organisation du marché de produits pétroliers
d)Gaz
Entreprises de fourniture au sens de l’article 1er, point 14°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de gaz naturel
Gestionnaires de réseau de distribution au sens de l’article 1er, point 22°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de gaz naturel
Gestionnaires de réseau de transport au sens de l’article 1er, point 24°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de gaz naturel
Gestionnaires d’installation de stockage au sens de l’article 1er, point 25°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché du gaz naturel
Gestionnaires d’installation de GNL au sens de l’article 1er, point 23°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché du gaz naturel
Entreprises de gaz naturel au sens de l’article 1er, point 15°, de la loi modifiée du 1er août 2007 relative à l’organisation du marché de gaz naturel
Exploitants d’installations de raffinage et de traitement de gaz naturel
e)Hydrogène
Exploitants de systèmes de production, de stockage et de transport d’hydrogène
2.Transports
a)Transports aériens
Transporteurs aériens au sens de l’article 3, point 4°, du règlement (CE) n° 300/2008 du Parlement européen et du Conseil du 11 mars 2008 relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) n° 2320/2002, tel que modifié, utilisés à des fins commerciales
Entités gestionnaires d’aéroports au sens de l’article 2, point 1°, de loi modifiée du 23 mai 2012 portant transposition de la directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 sur les redevances aéroportuaires et portant modification : 1) de la loi modifiée du 31 janvier 1948 relative à la réglementation de la navigation aérienne ; 2) de la loi modifiée du 19 mai 1999 ayant pour objet a) de réglementer l’accès au marché de l’assistance en escale à l’aéroport de Luxembourg, b) de créer un cadre réglementaire dans le domaine de la sûreté de l’aviation civile, et c) d’instituer une Direction de l’Aviation Civile, aéroports au sens de l’article 2, point 1°, de la directive 2009/12/CE du Parlement européen et du Conseil du 11 mars 2009 sur les redevances aéroportuaires, y compris les aéroports du réseaux central énumérés à l’annexe II, section 2, du règlement (UE) n° 1315/2013 du Parlement européen et du Conseil du 11 décembre 2013 sur les orientations de l’Union pour le développement du réseau transeuropéen de transport et abrogeant la décision n° 661/2010/UE, tel que modifié, et entités exploitant les installations annexes se trouvant dans les aéroports
Services du contrôle de la circulation aérienne assurant les services du contrôle de la circulation aérienne au sens de l’article 2, point 1°, du règlement (CE) n° 549/2004 du Parlement européen et du Conseil du 10 mars 2004 fixant le cadre pour la réalisation du ciel unique européen (« règlement-cadre »), tel que modifié
b)Transports ferroviaires
Gestionnaires de l’infrastructure au sens de l’article 2, point 31°, de la loi du 5 février 2021 relative à l’interopérabilité ferroviaire, à la sécurité ferroviaire et à la certification des conducteurs de train
Entreprises ferroviaires au sens de l’article 2, point 15°, de la loi modifiée du 6 juin 2019 portant transposition de la directive (UE) 2016/2370 du Parlement européen et du Conseil du 14 décembre 2016 modifiant la directive 2012/34/UE en ce qui concerne l’ouverture du marché des services nationaux de transport de voyageurs par chemin de fer et la gouvernance de l’infrastructure ferroviaire et exploitants d’installations de services au sens de l’article 2, point 18°, de la même loi
c)Transports par eau
Sociétés de transport par voie d’eau intérieure, maritime et côtier de passagers et de fret telles qu’elles sont définies pour le domaine du transport maritime visé à l’annexe I du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires, tel que modifié, à l’exclusion des navires exploités à titre individuel par ces sociétés
Entités gestionnaires des ports au sens de l’article 3, point 1°, de la directive 2005/65/CE du Parlement européen et du Conseil du 26 octobre 2005 relative à l’amélioration de la sûreté des ports, y compris les installations portuaires au sens de l’article 2, point 11°, du règlement (CE) n° 725/2004 du Parlement européen et du Conseil du 31 mars 2004 relatif à l’amélioration de la sûreté des navires et des installations portuaires, tel que modifié, ainsi que les entités exploitant des ateliers et des équipements à l’intérieur des ports
Exploitants de services de trafic maritime (STM) au sens de l’article 2, lettre o), du règlement grand-ducal modifié du 27 février 2011 relatif à la mise en place d’un système communautaire de suivi du trafic des navires et d’information
d)Transports routiers
Autorités routières au sens de l’article 2, point 12°, du règlement délégué (UE) 2015/962 de la Commission du 18 décembre 2014 complétant la directive 2010/40/UE du Parlement européen et du Conseil en ce qui concerne la mise à disposition, dans l’ensemble de l’Union, de services d’informations en temps réel sur la circulation, chargées du contrôle de la gestion de la circulation, à l’exclusion des entités publiques pour lesquelles la gestion de la circulation ou l’exploitation des systèmes de transport intelligents constituent une partie non essentielle de leur activité générale
Exploitants de systèmes de transport intelligents au sens de la lettre circulaire du 22 février 2012 concernant la directive 2010/40/UE du Parlement européen et du Conseil du 7 juillet 2010 concernant le cadre pour le déploiement de systèmes de transport intelligents dans le domaine du transport routier et d’interfaces avec d’autres modes de transport
e)Transports publics
Opérateurs de services publics au sens de l’article 2, lettre d), du règlement (CE) n° 1370/2007 du Parlement européen et du Conseil du 23 octobre 2007 relatif aux services publics de transport de voyageurs par chemin de fer et par route, et abrogeant les règlements (CEE) n° 1191/69 et (CEE) n° 1107/70 du Conseil, tel que modifié
3.Secteur bancaire
Établissements de crédit au sens de l’article 4, point 1°, du règlement (UE) n° 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) n° 648/2012, tel que modifié
4.Infrastructures des marchés financiers
Exploitants de plates-formes de négociation au sens de l’article 1er, point 43°, de la loi modifiée du 30 mai 2018 relative aux marchés d’instruments financiers
Contreparties centrales au sens de l’article 2, point 1°, du règlement (UE) n° 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux, tel que modifié
5.Santé
Prestataires de soins de santé au sens de l’article 2, lettre e), de la loi modifiée du 24 juillet 2014 relative aux droits et obligations du patient
Laboratoires de référence de l’UE visés à l’article 15 du règlement (UE) 2022/2371 du Parlement européen et du Conseil du 23 novembre 2022 concernant les menaces transfrontières graves pour la santé et abrogeant la décision n° 1082/2013/UE
Laboratoires nationaux de référence désignés en vertu de l’article 10 de la loi modifiée du 1er août 2018 sur la déclaration obligatoire de certaines maladies dans le cadre de la protection de la santé publique
Entités exerçant des activités de recherche et de développement dans le domaine des médicaments au sens de l’article 1er, point 2°, de la directive 2001/83/CE du Parlement européen et du Conseil du 6 novembre 2001 instituant un code communautaire relatif aux médicaments à usage humain
Entités fabriquant des produits pharmaceutiques de base et des préparations pharmaceutiques au sens de la NACE Rév. 2 Nomenclature statistique des activités économiques dans la Communauté européenne, section C, division 21
Entités fabriquant des dispositifs médicaux considérés comme critiques en cas d’urgence de santé publique (liste des dispositifs médicaux critiques en cas d’urgence de santé publique) au sens de l’article 22 du règlement (UE) 2022/123 du Parlement européen et du Conseil du 25 janvier 2022 relatif à un rôle renforcé de l’Agence européenne des médicaments dans la préparation aux crises et la gestion de celles-ci en ce qui concerne les médicaments et les dispositifs médicaux, tel que modifié
Entités titulaires d’une autorisation de distribution au sens de l’article 4 de la loi modifiée du 6 janvier 1995 relative à la distribution en gros des médicaments
6.Eau potable
Fournisseurs et distributeurs d’eaux destinées à la consommation humaine au sens de l’article 2, point 1°, lettre a), de la loi du 23 décembre 2022 relative à la qualité des eaux destinées à la consommation humaine, à l’exclusion des distributeurs pour lesquels la distribution d’eaux destinées à la consommation humaine constitue une partie non essentielle de leur activité générale de distribution d’autres produits et biens
7.Eaux résiduaires
Entreprises collectant, évacuant ou traitant les eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées au sens de l’article 2, points 1°, 2° et 3°, du règlement grand-ducal modifié du 13 mai 1994 relatif au traitement des eaux urbaines résiduaires, à l’exclusion des entreprises pour lesquelles la collecte, l’évacuation ou le traitement des eaux urbaines résiduaires, des eaux ménagères usées ou des eaux industrielles usées constituent une partie non essentielle de leur activité générale
8.Infrastructures numériques
Fournisseurs de points d’échange internet au sens de l’article 2, point 17°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité
Fournisseurs de services DNS au sens de l’article 2, point 19°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité, à l’exclusion des opérateurs de serveurs racines de noms de domaines
Registres de noms de domaines de premier niveau au sens de l’article 2, point 20°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité
Fournisseurs de services d’informatique en nuage au sens de l’article 2, point 29°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité
Fournisseurs de services de centre de données au sens de l’article 2, point 30°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité
Fournisseurs de réseaux de diffusion de contenu au sens de l’article 2, point 31°, de la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité
Prestataires de services de confiance au sens de l’article 3, point 19°, du règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
Fournisseurs de réseaux de communications électroniques publics au sens de l’article 2, point 8°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications électroniques
Fournisseurs de services de communications électroniques au sens de l’article 2, point 4°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications dans la mesure où leurs services sont accessibles au public
9.Administration publique
Entité de l’administration publique telle que définie à l’article 2, point 9°
10.Espace
Exploitants d’infrastructures au sol, détenues, gérées et exploitées par des États membres ou par des parties privées, qui soutiennent la fourniture de services spatiaux, à l’exclusion des fournisseurs de réseaux de communications électroniques publics au sens de l’article 2, point 8°, de la loi du 17 décembre 2021 sur les réseaux et les services de communications
11.Production, transformation et distribution de denrées alimentaires
Entreprises du secteur alimentaire au sens de l’article 3, point 2°, du règlement (CE) n° 178/2002 du Parlement européen et du Conseil du 28 janvier 2002 établissant les principes généraux et les prescriptions générales de la législation alimentaire, instituant l’Autorité européenne de sécurité des aliments et fixant des procédures relatives à la sécurité des denrées alimentaires, tel que modifié, qui exercent exclusivement des activités de logistique et de distribution en gros ainsi que de production et de transformation industrielles à grande échelle
12.Gestion des déchets
Entreprise impliquée dans la gestion des déchets au sens de l’article 4, point 22°, de la loi modifiée du 21 mars 2012 relative aux déchets