DORA vs NIS 2 au Luxembourg : qui prime en cas d’incident ?
La Commission européenne a confirmé le 18/09/2023 que les actes sectoriels priment sur NIS 2 en « lex specialis » si leurs exigences sont équivalentes. DORA en fait partie : au Luxembourg, la CSSF encadre les notifications des entités financières.
Fait vérifiable — La Commission européenne a clarifié le 18 septembre 2023 que, lorsque des actes sectoriels de l’UE imposent des exigences au moins équivalentes à NIS 2, ces actes priment (règle de « lex specialis ») et DORA en fait partie. Conséquence au Luxembourg : pour les entités financières, la CSSF et DORA encadrent l’alerte/notification d’incident, l’ILR appliquant NIS 2 aux autres secteurs. Voir Journal officiel C 328 du 18/09/2023 (lignes directrices sur l’article 4 NIS 2) : eur-lex.europa.eu.
L’affaire
Le 18 septembre 2023, la Commission a publié ses lignes directrices sur l’application de l’article 4 de la directive (UE) 2022/2555 (NIS 2), détaillant le mécanisme « lex specialis » entre NIS 2 et les actes sectoriels. L’annexe identifie notamment le règlement (UE) 2022/2554 (DORA) comme acte sectoriel. Lorsque les exigences d’un acte sectoriel sont « au moins équivalentes dans leurs effets » à NIS 2 (gestion des risques, notification des incidents significatifs), les dispositions correspondantes de NIS 2 — y compris supervision et sanctions (chapitre VII) — « ne s’appliquent pas » aux entités concernées. Réf. : JO C 328 du 18/09/2023 ; texte NIS 2 (art. 4) : eur-lex.europa.eu.
Côté DORA, le considérant 16 affirme que le règlement « constitue lex specialis à l’égard de la directive (UE) 2022/2555 », pour la gestion des risques TIC et le reporting des incidents TIC. Réf. : eur-lex.europa.eu.
Au Luxembourg, la loi du 5 mai 2026 (entrée en vigueur le 10 mai 2026) transpose NIS 2 et désigne l’ILR comme autorité compétente pour de nombreux secteurs (énergie, santé, infrastructures numériques, administrations), avec obligation de notifier les incidents importants. Pages officielles ILR : Entrée en vigueur NIS 2 et Notification d’incident.
Le raisonnement juridique
- NIS 2, article 4 : si un acte sectoriel impose des exigences au moins équivalentes sur les mesures de cybersécurité et la notification des incidents, les dispositions pertinentes de NIS 2 (y compris supervision et enforcement) « ne s’appliquent pas ». Réf. : eur-lex.europa.eu.
- Lignes directrices de la Commission (18/09/2023) : elles précisent l’évaluation de « l’équivalence d’effet » et exigent un accès immédiat des CSIRT/autorités NIS aux notifications lorsque l’acte sectoriel prime, afin de conserver une vision nationale de la menace. Réf. : JO C 328.
- DORA (règlement 2022/2554) : le considérant 16 consacre la primauté ; les articles 5–15 encadrent la gestion des risques TIC ; l’article 19 et ses actes de niveau 2 fixent la notification des « incidents TIC majeurs ». Délais précisés par le Règlement délégué (UE) 2025/301 (initiale le plus tôt possible et au plus tard 24 h après la prise de connaissance/4 h après classification ; intermédiaire ≤ 72 h ; final selon RTS) et modèles par le Règlement d’exécution (UE) 2025/302. Réf. : 2025/301 et 2025/302.
- Luxembourg : la loi du 5 mai 2026 et les pages officielles de l’ILR précisent la compétence NIS 2 (obligation de notifier les « incidents importants » et supervision associée). Réf. : ILR — NIS 2.
Position divergente concrète
- ILR / NIS 2 : alerte/notification d’« incident important » à l’autorité NIS en trois temps (alerte rapide ≤ 24 h, notification ≤ 72 h, rapport final ≤ 1 mois) pour les secteurs sous ILR. Réf. NIS 2, art. 23 : eur-lex.europa.eu.
- CSSF / DORA : notification d’un « incident TIC majeur » au superviseur financier selon DORA, avec des délais techniques différents, des gabarits harmonisés UE et une chaîne de transmission vers les ESA, non vers l’ILR. Réf. : DORA art. 19 ; 2025/301 ; 2025/302.
Ce que ça change concrètement
- Banques, PSF, PSI, entreprises d’assurance, sociétés de gestion, AIFM, émetteurs de monnaie électronique, etc. relèvent de DORA pour la gestion des risques TIC et le reporting des incidents. Ils notifient à la CSSF via les modèles DORA — pas à l’ILR au titre NIS 2. L’ILR doit néanmoins pouvoir accéder à l’information, conformément à l’article 4 NIS 2 et aux lignes directrices de la Commission. Pour le cadre local, voir aussi DORA au Luxembourg.
- Des fournisseurs critiques non financiers relevant d’un secteur NIS 2 (Annexes I/II) restent dans le giron NIS 2 avec notifications à l’ILR. Il peut donc exister deux flux parallèles (DORA pour l’entité financière, NIS 2 pour le prestataire), avec exigence de cohérence des informations. Réf. : ILR — NIS 2.
- Pour les groupes transfrontaliers, ne pas calquer les pratiques d’autres juridictions : au Luxembourg, l’ILR supervise NIS 2 (hors secteur financier) et la CSSF pilote DORA. Cartographiez « qui notifie qui, quand et comment ». Pour la supervision locale NIS, voir NIS 2 au Luxembourg.
Exemple
Une banque luxembourgeoise subit une indisponibilité prolongée de services digitaux due à un incident TIC. Si l’incident franchit les seuils « majeur » DORA (RTS de classification), elle déclenche : notification initiale dans les 4 h après classification (et au plus tard 24 h après la prise de connaissance), rapport intermédiaire ≤ 72 h après l’initiale, puis rapport final, via les formulaires 2025/302. En parallèle, si un hébergeur relevant d’un secteur NIS 2 est affecté, il peut devoir notifier l’ILR — mais la banque n’a pas à doubler une notification ILR au titre NIS 2. Réf. : 2025/302.
Pièges fréquents
- Double notification : une entité DORA qui informe la CSSF et, en plus, l’ILR au titre NIS 2 risque incohérences et perte de temps. Appuyez votre procédure interne sur NIS 2, art. 4, et les lignes directrices Commission (JO C 328).
- Attendre une « confirmation ILR » pour une entité DORA : inutile. DORA (considérant 16) est clair ; les délais et modèles sont fixés par 2025/301 et 2025/302.
- Mauvaise classification : sous DORA, l’obligation dépend de la qualification « incident TIC majeur » selon des seuils précis. La prise de connaissance déclenche le compte à rebours 24 h.
- Oublier l’accès des CSIRT/autorités NIS 2 : même quand DORA prime, des mécanismes de partage d’information vers les CSIRT doivent exister (formats, confidentialité). Réf. : lignes directrices Commission.
- Confondre périmètres : une maison mère DORA peut couvrir le financier, mais une filiale hors secteur financier relevant d’un secteur NIS 2 reste sous ILR pour ses propres incidents.
Aller plus loin
Pour renforcer vos capacités de gestion de crise et de résilience opérationnelle conformes à DORA, anticipez votre plan de continuité et vos processus de notification.
Sources officielles clés : lignes directrices NIS 2 (art. 4) ; Directive (UE) 2022/2555 ; Règlement (UE) 2022/2554 ; 2025/301 ; 2025/302 ; ILR — entrée en vigueur ; ILR — notification.
Besoin d’aide pour cartographier vos flux de notification et vos obligations sectorielles au Luxembourg ? Contactez-nous.
Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →