Gouvernance
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Gouvernance
1. Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, supervisent sa mise en œuvre et puissent être tenus responsables de la violation dudit article par ces entités.
L’application du présent paragraphe est sans préjudice du droit national en ce qui concerne les règles en matière de responsabilité applicables aux institutions publiques, ainsi que de responsabilité des agents de la fonction publique et des responsables élus ou nommés.
2. Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.
Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui désigné les operateurs essentiels et importants, mene les inspections et peut sanctionner les manquements de gouvernance. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose l'article 20 et confirme la responsabilité de l'organe de direction, sans préjudice du droit luxembourgeois sur la responsabilité des dirigeants et, pour le secteur public, des agents et responsables nommes ou elus. Les sanctions administratives peuvent atteindre jusqu'à 10 millions EUR ou 2% du chiffre d'affaires annuel mondial pour les entités essentielles.
Pratique Luxgap : faites inscrire l'approbation des mesures de l'article 21 a l'ordre du jour d'un conseil au moins une fois par an et conservez le PV signe ; c'est la premiere pièce que l'ILR réclamé en inspection.