← Tous les articles

consultant

DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?

La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.

Fait vérifiable — La Commission européenne a clarifié le 18 septembre 2023 que, lorsque des actes sectoriels de l’UE imposent des exigences au moins équivalentes à NIS 2, ces actes priment (règle de « lex specialis ») et DORA en fait partie. Conséquence au Luxembourg : pour les entités financières, la CSSF et DORA encadrent l’alerte/notification d’incident, l’ILR appliquant NIS 2 aux autres secteurs. Voir Journal officiel C 328 du 18/09/2023 (lignes directrices sur l’article 4 NIS 2) : eur-lex.europa.eu.

L’affaire

Le 18 septembre 2023, la Commission a publié ses lignes directrices sur l’application de l’article 4 de la directive (UE) 2022/2555 (NIS 2), détaillant le mécanisme « lex specialis » entre NIS 2 et les actes sectoriels. L’annexe identifie notamment le règlement (UE) 2022/2554 (DORA) comme acte sectoriel. Lorsque les exigences d’un acte sectoriel sont « au moins équivalentes dans leurs effets » à NIS 2 (gestion des risques, notification des incidents significatifs), les dispositions correspondantes de NIS 2 — y compris supervision et sanctions (chapitre VII) — « ne s’appliquent pas » aux entités concernées. Réf. : JO C 328 du 18/09/2023 ; texte NIS 2 (art. 4) : eur-lex.europa.eu.

Côté DORA, le considérant 16 affirme que le règlement « constitue lex specialis à l’égard de la directive (UE) 2022/2555 », pour la gestion des risques TIC et le reporting des incidents TIC. Réf. : eur-lex.europa.eu.

Au Luxembourg, la loi du 5 mai 2026 (entrée en vigueur le 10 mai 2026) transpose NIS 2 et désigne l’ILR comme autorité compétente pour de nombreux secteurs (énergie, santé, infrastructures numériques, administrations), avec obligation de notifier les incidents importants. Pages officielles ILR : Entrée en vigueur NIS 2 et Notification d’incident.

Le raisonnement juridique

  • NIS 2, article 4 : si un acte sectoriel impose des exigences au moins équivalentes sur les mesures de cybersécurité et la notification des incidents, les dispositions pertinentes de NIS 2 (y compris supervision et enforcement) « ne s’appliquent pas ». Réf. : eur-lex.europa.eu.
  • Lignes directrices de la Commission (18/09/2023) : elles précisent l’évaluation de « l’équivalence d’effet » et exigent un accès immédiat des CSIRT/autorités NIS aux notifications lorsque l’acte sectoriel prime, afin de conserver une vision nationale de la menace. Réf. : JO C 328.
  • DORA (règlement 2022/2554) : le considérant 16 consacre la primauté ; les articles 5–15 encadrent la gestion des risques TIC ; l’article 19 et ses actes de niveau 2 fixent la notification des « incidents TIC majeurs ». Délais précisés par le Règlement délégué (UE) 2025/301 (initiale le plus tôt possible et au plus tard 24 h après la prise de connaissance/4 h après classification ; intermédiaire ≤ 72 h ; final selon RTS) et modèles par le Règlement d’exécution (UE) 2025/302. Réf. : 2025/301 et 2025/302.
  • Luxembourg : la loi du 5 mai 2026 et les pages officielles de l’ILR précisent la compétence NIS 2 (obligation de notifier les « incidents importants » et supervision associée). Réf. : ILR — NIS 2.

Position divergente concrète

  • ILR / NIS 2 : alerte/notification d’« incident important » à l’autorité NIS en trois temps (alerte rapide ≤ 24 h, notification ≤ 72 h, rapport final ≤ 1 mois) pour les secteurs sous ILR. Réf. NIS 2, art. 23 : eur-lex.europa.eu.
  • CSSF / DORA : notification d’un « incident TIC majeur » au superviseur financier selon DORA, avec des délais techniques différents, des gabarits harmonisés UE et une chaîne de transmission vers les ESA, non vers l’ILR. Réf. : DORA art. 19 ; 2025/301 ; 2025/302.

Ce que ça change concrètement

  • Banques, PSF, PSI, entreprises d’assurance, sociétés de gestion, AIFM, émetteurs de monnaie électronique, etc. relèvent de DORA pour la gestion des risques TIC et le reporting des incidents. Ils notifient à la CSSF via les modèles DORA — pas à l’ILR au titre NIS 2. L’ILR doit néanmoins pouvoir accéder à l’information, conformément à l’article 4 NIS 2 et aux lignes directrices de la Commission. Pour le cadre local, voir aussi DORA au Luxembourg.
  • Des fournisseurs critiques non financiers relevant d’un secteur NIS 2 (Annexes I/II) restent dans le giron NIS 2 avec notifications à l’ILR. Il peut donc exister deux flux parallèles (DORA pour l’entité financière, NIS 2 pour le prestataire), avec exigence de cohérence des informations. Réf. : ILR — NIS 2.
  • Pour les groupes transfrontaliers, ne pas calquer les pratiques d’autres juridictions : au Luxembourg, l’ILR supervise NIS 2 (hors secteur financier) et la CSSF pilote DORA. Cartographiez « qui notifie qui, quand et comment ». Pour la supervision locale NIS, voir NIS 2 au Luxembourg.

Exemple

Une banque luxembourgeoise subit une indisponibilité prolongée de services digitaux due à un incident TIC. Si l’incident franchit les seuils « majeur » DORA (RTS de classification), elle déclenche : notification initiale dans les 4 h après classification (et au plus tard 24 h après la prise de connaissance), rapport intermédiaire ≤ 72 h après l’initiale, puis rapport final, via les formulaires 2025/302. En parallèle, si un hébergeur relevant d’un secteur NIS 2 est affecté, il peut devoir notifier l’ILR — mais la banque n’a pas à doubler une notification ILR au titre NIS 2. Réf. : 2025/302.

Pièges fréquents

  1. Double notification : une entité DORA qui informe la CSSF et, en plus, l’ILR au titre NIS 2 risque incohérences et perte de temps. Appuyez votre procédure interne sur NIS 2, art. 4, et les lignes directrices Commission (JO C 328).
  2. Attendre une « confirmation ILR » pour une entité DORA : inutile. DORA (considérant 16) est clair ; les délais et modèles sont fixés par 2025/301 et 2025/302.
  3. Mauvaise classification : sous DORA, l’obligation dépend de la qualification « incident TIC majeur » selon des seuils précis. La prise de connaissance déclenche le compte à rebours 24 h.
  4. Oublier l’accès des CSIRT/autorités NIS 2 : même quand DORA prime, des mécanismes de partage d’information vers les CSIRT doivent exister (formats, confidentialité). Réf. : lignes directrices Commission.
  5. Confondre périmètres : une maison mère DORA peut couvrir le financier, mais une filiale hors secteur financier relevant d’un secteur NIS 2 reste sous ILR pour ses propres incidents.

Aller plus loin

Pour renforcer vos capacités de gestion de crise et de résilience opérationnelle conformes à DORA, anticipez votre plan de continuité et vos processus de notification.

Sources officielles clés : lignes directrices NIS 2 (art. 4) ; Directive (UE) 2022/2555 ; Règlement (UE) 2022/2554 ; 2025/301 ; 2025/302 ; ILR — entrée en vigueur ; ILR — notification.

Besoin d’aide pour cartographier vos flux de notification et vos obligations sectorielles au Luxembourg ? Contactez-nous.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.

NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →