Header for Projet de loi portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la protection nationale

Projet de loi portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la protection nationale

Dës Ried hunn ech den 15/05/2019 an der Chamber zum Dagesuerdnungspunkt: “Projet de loi portant transposition de la directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union européenne et modifiant1° la loi modifiée du 20 avril 2009 portant création du Centre des technologies de l’information de l’État et2° la loi du 23 juillet 2016 portant création d’un Haut-Commissariat à la protection nationale” gehalen. Dir fannt weider Detailer och um Site vun der Chamber.

M. Sven Clement (Piraten).- Merci, Här President. Kolleeginnen a Kolleegen, et geet ëm IT an da wonnert ee sech net, datt ech fir eis erauskommen, fir e bëssen driwwer ze schwätzen.

(Brouhaha général et hilarité)

Une voix.- … eng gutt Meenung vu sech huet!

M. Sven Clement (Piraten).- Ech soen och dem Här Reding Merci fir déi vill Zäit, déi e mer dozou gelooss huet.

(Interruption)

Här President, dësen Text ass immens tech- nesch. An ech wëll ee klengt Beispill ginn, wéi technesch dësen Text ass, an dat ass: D’Lëtze- buerger Regierung huet e Portail, fir am Krise- fall d’Populatioun ze informéieren. Dëse Portail heescht infocrise.lu.

An elo stellt sech d’Fro: Ma wien ass an där Chaîne vun deem Portail dann elo alles en Opérateur de services essentiels? Ass dat mäin Internetprovider doheem? Ass dat deen, deem de Kabel gehéiert, iwwert deen den Internet fonctionnéiert? Ass dat den DNS-Provider, deen et eis erlaabt, vun dem .lu op den dns.lu ze kommen, vun do da weider erof op den DNS-Server vun der Regierung a vun do da weider op den infocrise.lu?

Dir mierkt, déi meescht wäerte wahrscheinlech elo soen: „Merde, vu wat schwätzt deen?“

Une voix.- Richteg!

M. Sven Clement (Piraten).- An Dir hutt recht! An dat ass de Problem vun dësem Ge- setz. Mir mussen, wa mer iwwer esou Gesetzer schwätzen, dat vill méi konkret ënnerleeën.

(Brouhaha)

Firwat musse mer et méi konkret ënnerleeën? Ma et ass e wirtschaftleche Facteur op där enger Säit, et ass e Sécherheetsfacteur op där anerer Säit. De Rapporteur, deem ech Merci soe fir säi Rapport, huet et schonn erwäänt: 1,5 Billiounen Euro Profitter am Cybercrime pro Joer! 300 Milliarden Euro gi Firme weltwäit pro Joer aus, fir sech ze schützen.

Dir gesitt, do ass schonn e Riseninequiliber tëschent deem, wat ausgi gëtt, an deem, wat op där anerer Säit vu Malfaiteure kann erage- holl ginn. D’Schied bei de Firmen, wa se da ge- hackt ginn oder hir Produktioun gestoppt gëtt, leie bei iwwer 25 Billioune pro Joer. Dat si 25- mol 1.000 Milliarden oder, fir et anescht ausze- drécken, dat ass eng 25 mat zwielef Nullen hannendrun.

Une voix.- Weltwäit.

M. Sven Clement (Piraten).- Weltwäit.

Une voix.- Elo verstinn ech …

(Hilarité)

M. Sven Clement (Piraten).- Dat ass sub- stanziell, géif ech elo emol behaapten. Do sinn e puer lëtzebuergesch Statsbudgete pro Joer dran, déi do eleng verluer ginn, well eis Inter- net- a weider IT-Systemer net sécher genuch sinn.

De Rapporteur huet et gesot: Eng Milliard Cy- berattacke pro Joer. Dat heescht, datt all 39 Se- konnen op der Welt eng Cyberattack geschitt. Dat heescht, an där ganzer Zäit, wou mer hei geschwat hunn, sinn eng jett Cyberattacke ge- schitt. An – wie weess? – vläicht ass och eng erëm hei zu Lëtzebuerg drënner gewiescht, well mir si keng Insel der Glückseligen.

Elo kommen ech awer méi konkret zu dësem Gesetz. Et ass eng Transpositioun vun enger Direktiv an duerfir wäerte mer och den Text matstëmmen. Et ass e wichtege Schrëtt an déi richteg Richtung, mä et ass an eisen Aen nach net kloer genuch. Ech hunn et an der Kommis- sioun gesot, an och do war d’Äntwert: „Mir musse waarden, bis d’Gesetz do ass. Mir mussen als Éischt emol déi Lëschten, déi Ques- tionnairen opstellen.“

Ech hat d’Chance, an der rezenter Vergaangen- heet op enger Missioun mat der Chamber zu Singapur ze sinn, an do ass et genau ëm d’Cy-bersécherheet gaangen. An eng vun de Saa- chen ass: Zu Singapur – e Stadtstaat, dee 5,6 Milliounen Awunner op 720 km² huet, also e bësse méi kleng wéi Lëtzebuerg vun der Taille, e bësse méi grouss, wat d’Populatioun ugeet -, déi hunn eng eegen Agence fir Cybersé- cherheet.

Déi hunn also net d’Cybersécherheet nach eng Kéier enger Agence, déi schonn aner Regula- tioun mécht, mat an d’Aufgabenheft geschriw- wen. Déi hunn tatsächlech eng dediéiert Agence, déi sech dorëm këmmert an déi en äänlecht Gesetz d’lescht Joer transposéiert huet an do och Questionnairen ausgeschafft huet, wéi een dann aus deenen 30 Kategorien, déi mer elo als Opérateurs de services essentiels definéieren, dat erofkritt op konkret: Wéi eng Firma ass et?

Well dat ass d’Essenz vun dësem Gesetz um Enn vum Dag: Mir stëmmen eppes haut, wou mer guer net wëssen, wéi vill Firmen a wéi engem Ëmfang hei zu Lëtzebuerg iwwerhaapt betraff sinn. An do kann den Text esou gutt sinn, wéi e wëllt, dës Onkloerheet sollte mer an Zukunft behiewen! Mir sollten eis Weeër a Moyene ginn, fir an Zukunft am Virfeld den Im- pakt op eis Ekonomie, jo, op déi lokal Betriber besser kënnen ofzeschätzen.

Ech sot et: Et ginn 30 Kategorië vu potenziellen Opérateurs de services essentiels. 30 Katego- rien, wou drasteet: „Wann däi Betrib ënnert d’Gesetz esou an esou fält, da bass du poten- ziell en Opérateur de services essentiels.“ Ob een et da wierklech ass, dat ass elo un dem ILR oder am Banken- an Assurancësecteur un der CSSF ze decidéieren.

Dës Reglementer kënne forcement nach net getraff sinn, soulaang d’Gesetz net en vigueur ass. Et wär awer ganz interessant, fir a sechs Méint, voire an engem Joer ze kucken, wéi vill Betriber dann elo tatsächlech ënnert dës nei Regele wäerte falen an ob dat flächendeckend ass oder eben net, ob mir net vläicht zu Lëtze- buerg méi wäit musse goen, wéi d’Direktiv dat elo an engem konsensuelle Verfahren zu Bréis- sel beschloss huet.

Well et kënnt nach eng zweet Fro: Wéi gi mer dann an de Reseaue vun eise Prestatairen, an eise Reseaue vun den Operateuren ëm mat Hardware, wou et Doutte ginn iwwert d’Sé- cherheet?

Et gëtt am Moment ee grousst Beispill, wou vill an der internationaler Press driwwer diskutéiert gëtt, an dat ass Huawei. Soll een a sengen na- tionalen, séchere Reseauen Equipement ver- bauen, wat vun engem chineesesche Statskon- zern produzéiert gëtt? D’Amerikaner soe kloer Neen. D’Britte si sech onsécher. Iwwert déi Dis- kussioun huet missen e brittesche Kabinettsmi- nister goen.

Also, dat ass alles anescht wéi anodin, esou eng Diskussioun ze féieren. An ech mengen, mir däerfen et, wann et ëm d’Sécherheet vun eisen IT-Systemer geet, net eleng bei dësem Gesetz beloossen. Mir mussen och d’Fro stellen: Wat kënnt duerno?

Wa mer näämlech bis eng Lëscht vun de Pres- tatairen hunn, déi heirënnerfalen, da musse mer eis d’Fro stellen: Wat mussen déi Presta- tairë vläicht iwwert dëst Gesetz eraus weider erfëllen?

Ech hu virdrun dat Beispill vum DNS ginn. Den DNS steet fir Domain Name Service. Dat ass d’Adressbuch vum Internet, d’Tëlefonsbuch vum Internet. Wann ech „google.com“ aginn, wëll ech op engem Computer erauskommen, dee mer d’Websäit vu Google uweist. Just, d’Computere schwätzen net an Nimm, déi schwätzen an Zuelen, an IP-Adressen.

Ech benotzen elo – fir déi, déi dann technesch inclinéiert sinn – eng IPv4-Notatioun a keng IPv6: 8.8.8.8 ass eng Adress vu Google, eng vu villen. Dat heescht, den DNS-Server iwwersetzt dat aus „google.com“ op eng IP-Adress. Mä dat ass net ee Server. Dat ass eng ganz Chaîne vu Serveren, déi duerfir responsabel sinn. An déi Servere sinn dezentral organiséiert an awer hierarchesch.

Dat heescht, fir op eng belibeg Websäit ze komme vun engem Operateur, deen herno „de services essentiels“ genannt gëtt an deem seng Websäit vläicht och als en „service essentiel“ klasséiert gëtt, muss een net nëmmen deem säi Server kënnen uschwätzen, et muss een och deem sengem Provider säi Server kënnen uschwätzen. A wa mer am DNS-Service ganz wäit eropginn, da komme mer bei déi souge- nannt „Root-Serveren“, an déi ginn net vu Lët- zebuerg bedriwwen, mä déi gi vun der IANA, enger amerikanescher NGO bedriwwen, ze- summe mat Regierunge weltwäit.

Dat heescht, wa mer dat Gesetz hei à la lettre ausleeën, da bedeit dat, datt mir hei dem ILR d’Kompetenz ginn, fir e Contrôle ze maache vun internationale Root-Serveren am DNS-Sys- tem.

Juristesch kee Problem. Si hunn elo d’Mandat a si kréie gesot: „Lëtzebuerg seet Iech: Maacht dat!“ Praktesch weess ech net, ob de Budget, dee mer hinnen zousätzlech dëst Joer ginn hunn, fir genau dës Missioun ze exekutéieren, wäert duergoen, fir esou eng international Mis- sioun wouerzehuelen. Deementspriechend ass et wichteg, datt mer a sechs Méint, an engem Joer eng Reevaluatioun maachen, ob mer hei net vläicht musse méi kloer ginn, ob mer eis hei net vläicht mussen aner Moyene gi wéi nëmmen déi vum Contrôle.

An dann e leschte Punkt, deen och guer net ugeschwat gëtt, well d’Gesetz …, well d’Direk- tiv sech do guer net driwwer prononcéiert huet, dat ass: Wat geschitt mat Schwaachstel- len an de Reseaue vun eisen Opérateurs de ser- vices essentiels?

Wien haft, wann den Hack net op d’Feelverhale vum Operateur zréckzeféieren ass, mä wann den Hack dorobber zréckzeféieren ass, datt de Prestataire, den Hiersteller vun engem Switch, d’Passwuert, „admin/admin“ fest aprogram- méiert huet? Rezent, gëschter nach, ass erëm esou e Fall bei engem groussen Hiersteller be- kannt ginn, dee weltwäit a quasi all de Re- seauen ze fannen ass, wou ee mat engem Stan- dardpasswuert op eemol „Admin“ am ganze Reseau ass.

Wien haft an deem Fall? Ass et um ILR, fir dann eisen Opérateur de services essentiels ze res- ponsabiliséieren? Oder ass et un deem, fir vu vireran ze soen: „Mä ech benotze folgend Equi- pement. Léiwen ILR, ass dat iwwerhaapt konform?“ Wat fir e Waasserkapp ka sech do- raus erginn, wann een d’Gesetz à la lettre ap- plizéiert?

Et ass e gutt Gesetz. Et ass e wichtegt Gesetz, mä et bleiwen awer nach Froen op. A grad wann ee sech technesch e bësse méi detailléiert domat auserneesetzt wéi just mam ekonome- schen oder mam penale Volet, da gesäit een, datt do nach Froen opbleiwen.

Dës Froe wäerte mer haut net an der Plenière kënne léisen. Duerfir freeën ech mech, datt mer an deenen nächste Wochen, Méint, Jore sécherlech d’Geleeënheet kréien an de Kom- missiounen, genau déi Froen nach eng Kéier opzewerfen, och eventuell duerch nei Geset- zesproposen dat dann och kënnen nozebesse- ren.

Mä fir haut sollte mer deen éischte Schrëtt maachen. An duerfir gi mir och eisen Accord fir dëse Projet.

Villmools Merci.