(1) Outre l’obligation de notification prévue à l’article 14, des notifications peuvent être transmises à titre volontaire :

1° aux autorités compétentes par les entités essentielles et importantes en ce qui concerne les incidents, les cybermenaces et les incidents évités ;

2° à l’Institut Luxembourgeois de Régulation par les entités autres que celles visées au point 1°, indé- pendamment du fait qu’elles relèvent ou non du champ d’application de la présente loi, en ce qui concerne les incidents importants, les cybermenaces ou les incidents évités.

(2) L’autorité compétente traite les notifications visées au paragraphe 1er conformément à la procé- dure énoncée à l’article 14. L’autorité compétente peut traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires. Lorsque cela est nécessaire, l’autorité compétente fournit au CSIRT concerné et au point de contact unique les informations relatives aux notifications reçues en vertu du présent article, tout en garantissant la confidentialité et une protection appropriée des informations fournies par l’entité à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à l’entité ayant effectué la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis la notification.