Le projet de loi portant sur certaines modalités d'application et les sanctions du règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 (règlement sur la cybersécurité) et portant modification de la loi modifiée du 4 juillet 2014 portant réorganisation de l'ILNAS a été voté à l’unanimité le 10 décembre 2024 lors du premier vote constitutionnel.
Rappelons que le règlement (UE) n°2019/881 - aussi appelé le règlement sur la cybersécurité - définit en particulier un cadre pour l’élaboration de schémas de certification en cybersécurité à l’échelle de l’UE, de telle sorte que toute certification obtenue dans un état membre est reconnue sur tout le marché unique. A ce jour, un schéma de certification sur les produits des technologies de l’information et de la communication basé sur le référentiel de la série de normes ISO/IEC 15048 Information security, cybersecurity and privacy protection — Evaluation criteria for IT security (EUCC) a été activé via un acte d’exécution, et plusieurs autres schémas portant sur l’informatique en nuage (EUCS), les équipements 5G (EU5G), et les portefeuilles d’identité numérique (EUDI) sont en cours d’élaboration. De plus amples informations sont disponibles sur un site dédié de l’ENISA.
Le projet de loi désigne l'Institut luxembourgeois de normalisation, d'accréditation, de sécurité et de qualité des produits et services (ILNAS) comme autorité nationale de certification de cybersécurité (NCCA - National Cybersecurity Certification Authority) chargée des tâches de surveillance et complète les dispositions du règlement, en respectant la marge d'appréciation accordée au législateur national. Concrètement, l’Organisme luxembourgeois de la confiance numérique (OLCN) de l’ILNAS, en collaboration avec l’Office luxembourgeois d'accréditation et de surveillance (OLAS), veillera au respect des règles d’utilisation et d’émission de certificats sur son territoire.