Règlement ILR/N21/1 du 9 juin 2021 portant définition des paramètres et modalités en relation avec la notification d’un incident ayant un impact significatif sur la fourniture d’un service numérique par les fournisseurs de services numériques à signaler à l’institut - NISS.

Adapter la taille du texte :

Règlement ILR/N21/1 du 9 juin 2021 portant définition des paramètres et modalités en relation avec la notification d’un incident ayant un impact significatif sur la fourniture d’un service numérique par les fournisseurs de services numériques à signaler à l’institut - NISS.

La Direction de l’Institut Luxembourgeois de Régulation,

Vu la loi du 28 mai 2019 portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant 1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et 2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale, et notamment son article 11 paragraphe 3 (ci-après : « loi du 28 mai 2019 ») ;

Vu le règlement d’exécution (UE) 2018/151 de la Commission du 30 janvier 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de services numériques pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif ;

Vu la consultation publique relative au projet de règlement portant définition des paramètres et modalités en relation avec la notification d’un incident ayant un impact significatif sur la fourniture d’un service numérique par les fournisseurs de services numériques à signaler à l’Institut du 25 mars 2021 au 26 avril 2021 ;

Vu les contributions reçues par l’Institut lors de la consultation publique et la prise de position de l’Institut y relative ;

Arrête :

Art. 1er.

Le présent règlement définit les paramètres et modalités à signaler à l’Institut en relation avec la notification d’un incident ayant un impact significatif sur la fourniture d’un service numérique par les fournisseurs de services numériques pour lesquels la CSSF n’est pas l’autorité compétente conformément à l’article 3 alinéa 2 de la loi du 28 mai 2019.

Art. 2.

(1)

Les fournisseurs de services numériques doivent notifier à l’Institut tous les incidents ayant un impact significatif sur la fourniture du service numérique.

(2)

Est considérer comme ayant un impact significatif sur la fourniture d’un service numérique l’incident qui répond aux critères définis à l’article 4 du règlement d’exécution (UE) 2018/151 de la commission du 30 janvier 2018 portant modalités d’application de la directive (UE) 2016/1148 du Parlement européen et du Conseil précisant les éléments à prendre en considération par les fournisseurs de services numériques pour gérer les risques qui menacent la sécurité des réseaux et des systèmes d’information ainsi que les paramètres permettant de déterminer si un incident a un impact significatif.

(3)

Les incidents visés au paragraphe 1 et 2 du présent article sont à notifier à l’Institut par l’intermédiaire de la plateforme https://serima.lu/notification ou par courriel à niss@ilr.lu.

Art. 3.

(1)

Tout incident détecté pouvant avoir un impact significatif sur la continuité du service numérique et dont la cause pourrait être en relation avec les réseaux ou systèmes d’information doit faire l’objet d’une pré-notification à l’Institut endéans 24 heures et selon les modalités décrites à l’article 2 paragraphe 3 du présent règlement. La pré -notification contient une estimation du nombre des utilisateurs potentiellement concernés, la durée prévisible de l’incident, les services concernés et si l’impact a un caractère international.

(2)

Le fournisseur de services numériques transmet une notification complète à l’Institut dans un délai de 15 jours après détection de l’incident au cas où, après analyse interne de l’incident par le déclarant, il s’avère que cet incident répond aux critères fixés à l’article 2 paragraphe 2 du présent règlement.

Cette notification comprend a minima les informations suivantes :

Informations de contact
Services impactés
Information sur l’impact de l’incident
Description de l’incident
Date de la première observation de l’incident
Date du début de l’incident (si connue)
Impact géographique de l’incident
Cause de l’incident
Information si l’incident a eu un impact sur la disponibilité, l’intégrité, la confidentialité ou l’authenticité du réseau et des systèmes d’information du fournisseur de services numériques.

(3)

Dans le cas où après la notification complète, des informations additionnelles sur l’incident deviennent disponibles, le fournisseur de services numériques les notifie dans les plus brefs délais suivant les modalités décrites à l’article 2 paragraphe 3 du présent règlement.

(4)

Au cas où, après analyse interne de l’incident par le fournisseur de services numériques, il s’avère que l’incident ayant fait l’objet d’une pré-notification ne répond pas aux critères fixés à l’article 2 paragraphe 2 du présent règlement, une notification définitive n’est pas requise. L’Institut en est informé de suite par le fournisseur de services numériques suivant les modalités énoncées à l’article 2 paragraphe 3 du présent règlement.

(5)

Le fournisseur de services numériques partage avec l’Institut toute information divulguée par lui aux médias et ayant trait à un incident ayant eu un impact significatif sur la continuité des services numériques.

Art. 4.

L’Institut peut à tout moment demander des informations additionnelles sur un incident. Les fournisseurs de services numériques fournissent ces informations en respectant les délais et le niveau de détail exigés par l’Institut.

Art. 5.

Dans le cadre d’un incident ayant des répercussions sur d’autres États membres de l’Union européenne, l’Institut peut échanger, en cas de besoin, les informations reçues avec les autorités compétentes des autres États membres.

Art. 6.

Le présent règlement sera publié au Journal officiel du Grand-Duché de Luxembourg et sur le site Internet de l’Institut.

Pour l’Institut Luxembourgeois de Régulation,

La Direction,

Michèle Bram

Directrice adjointe

Camille Hierzig

Directeur adjoint

Luc Tapella

Directeur


Retour
haut de page