Protection de l'information : l'expérience du Luxembourg
Getty Images
Le Luxembourg continue de renforcer la protection des infrastructures critiques et la cybersécurité. Le projet de loi n° 8364, basé sur la directive européenne "NIS 2" (sécurité des réseaux et des systèmes d'information), introduit des normes actualisées pour la gestion des risques et la réponse aux incidents.
Le projet de loi divise les entreprises en deux catégories :
- "Critique" (plus de 250 employés, chiffre d'affaires annuel supérieur à 50 millions d'euros).
- "Important" (50 employés ou plus, chiffre d'affaires supérieur à 10 millions d'euros).
Ces entreprises devraient être actives dans des secteurs critiques : énergie, transports, soins de santé, infrastructures financières, gestion des déchets, services numériques et autres.
Si une entreprise répond aux critères susmentionnés, elle devra prendre un certain nombre de mesures pour améliorer la cybersécurité. Par exemple, elle devra prendre des mesures pour sécuriser sa chaîne d'approvisionnement. Il lui sera également demandé de s'enregistrer auprès des autorités de contrôle compétentes (ILR ou CSF pour le secteur financier) et de former son personnel aux concepts de base de la cybersécurité.
En cas de non-respect, les entreprises "critiques" s'exposent à des amendes pouvant atteindre 10 millions d'euros ou 2 % de leur chiffre d'affaires annuel, et les entreprises simplement "importantes" à des amendes pouvant atteindre 7 millions d'euros ou 1,4 % de leur chiffre d'affaires.
Le projet de loi doit encore être finalisé. Le Conseil d'État a déjà formulé 10 commentaires formels qui doivent être pris en compte dans la suite des discussions. Toutefois, si la loi est adoptée après plusieurs lectures, les principaux acteurs du marché devront investir des sommes importantes pour répondre aux exigences de l'État.
