← Tous les articles

consultant

ILR — Notification d’incident NIS 2 : 24 h pour alerter

Le 5 mai 2026, le Luxembourg a transposé NIS 2. L’ILR publie un guide avec alerte à 24 h, notification à 72 h et rapport à 1 mois. Voici comment un SOC/SIEM managé permet de tenir ces jalons sereinement.

Par Cyber Luxgap 13/06/2026

Les faits

Le 5 mai 2026, la loi luxembourgeoise de transposition de la directive (UE) 2022/2555 dite « NIS 2 » est entrée en vigueur. L’Institut Luxembourgeois de Régulation (ILR) a publié un guide opérationnel « La notification incident sous NIS 2 » décrivant un processus harmonisé en trois étapes : alerte précoce dans les 24 heures après détection, notification formelle sous 72 heures, puis rapport final au plus tard un mois après (avec possibilité d’extension d’un mois si l’incident n’est pas clôturé). Le guide précise les informations attendues à chaque jalon et renvoie au portail national SERIMA pour les dépôts.

Le site « Cybersecurity – NISS » de l’ILR confirme la transposition par la loi du 5 mai 2026 et centralise les ressources (SERIMA, FAQ, guides, modules de risque MONARC) à destination des entités essentielles et importantes soumises à supervision au Luxembourg (ILR – NISS). L’ILR détaille également dans sa FAQ NIS 2 le périmètre et les modalités de notification.

Ce durcissement des exigences de reporting s’inscrit dans un contexte européen de tensions cyber élevées : l’exercice paneuropéen « Cyber Europe 2026 » piloté par l’ENISA a, le 13 juin 2026, simulé des attaques coordonnées contre des ports et réseaux ferroviaires pour tester la coordination technique, opérationnelle et politique en cas de crise (Agence Europe).

Le cadre légal qui s’applique

NIS 2 — Article 23 : obligation d’alerte précoce « sans retard indu et au plus tard dans les 24 heures » après détection d’un incident significatif, suivie d’une notification formelle sous 72 heures et d’un rapport final sous un mois. Au Luxembourg, ces jalons et contenus sont précisés par l’ILR : guide « Notification d’incident sous NIS 2 », portail SERIMA et notice « Incident notification » qui récapitule les pré-notifications à 24 h et l’obligation d’actualiser les informations. Pour une vue d’ensemble des obligations, consultez notre page dédiée à la directive NIS 2.

Rôle de l’ILR : autorité compétente pour les secteurs relevant de sa supervision, elle reçoit les notifications, donne un premier retour dans les 24 h (quand possible) et peut demander des informations intermédiaires (ILR).

La solution technique à déployer

Pour tenir un 24 h / 72 h / 1 mois sans panique, la brique déterminante n’est pas un formulaire : c’est un SIEM/SOC managé qui détecte vite, qualifie correctement et documente l’incident au fil de l’eau. Découvrez comment notre SOC managé structure ces capacités :

  • Collecte et corrélation : ingestion en temps réel des journaux systèmes (Windows, Linux), annuaires (AD/Entra), VPN, pare-feu, proxies, EDR/XDR, SaaS (O365, Salesforce), cloud (AWS/Azure/GCP). Règles de corrélation MITRE ATT&CK et détections comportementales pour repérer les chaînes d’attaque « vivant sur la terre ».
  • Qualification « significatif / pas significatif » : playbooks qui agrègent impact, disponibilité, intégrité, confidentialité, portée géographique et service affecté pour décider rapidement si l’incident franchit le seuil NIS 2 (traceable pour l’ILR).
  • Chronologie et preuves : horodatage fiable, conservation immuable des journaux pertinents, prise d’empreintes et scellés numériques (chaîne de possession) pour alimenter la notification initiale, la mise à jour 72 h et le rapport final.
  • Orchestration du reporting : modèles de fiches calqués sur les champs SERIMA (description, indicateurs de compromission, mesures prises, dépendances, impacts, contacts) et workflow d’approbation interne pour publier à temps.
  • Retour d’expérience : clôture avec mesures correctrices, enseignements et tests de résilience.

Références de bonnes pratiques : ISO/IEC 27001:2022 Annexe A — A.5.24 (planification et préparation de la gestion des incidents), A.5.25 (évaluation/décision sur les événements), A.5.26 (réponse), A.5.27 (retour d’expérience), A.5.28 (collecte des preuves), A.8.15 (journalisation) et A.8.16 (surveillance des activités). Pour un accompagnement local à la certification et au SMSI, voir notre page ISO 27001 Luxembourg. Un SOC/SIEM managé aligne aussi naturellement les fonctions Detect et Respond du NIST CSF 2.0.

Comment Luxgap déploie cela

  • Notre SOC managed (24/7) : nous intégrons en 2–6 semaines les sources critiques (réseaux, identités, endpoints, cloud/SaaS), mettons en place les règles de détection et publions un runbook « NIS 2 – ILR » qui mappe chaque alerte à un scénario, un seuil de criticité et un jalon (24 h/72 h/1 mois). Une astreinte L1/L2/L3 valide la qualification et prépare la pré-notification.
  • Notre gouvernance ISO 27001 : nos Lead Implementers/Auditors cadrent les politiques d’escalade, la tenue des journaux (A.8.15), la collecte de preuves (A.5.28) et les responsabilités de notification (A.5.24–A.5.26), avec des modèles documentaires compatibles SERIMA.
  • Nos consultants CISO/DPO externalisés : ils tranchent « significatif ou non », pilotent la communication vers l’ILR, coordonnent IT, juridique et métiers, et s’assurent que la notification reflète précisément l’état d’avancement technique. Pour un pilotage cyber externalisé, explorez notre offre CISO externalisé.

Cas concret au Luxembourg ou en UE

Une entreprise d’infrastructures essentielle opérant au Luxembourg a déployé en six semaines un SIEM avec 18 sources (VPN, firewalls, O365, EDR, AD, charges cloud) et des playbooks NIS 2. Lors d’un incident d’authentification anormale sur un VPN, le SOC a établi l’impact (service non critique, confinement rapide, pas d’exfiltration) et lancé une alerte précoce sous 18 heures via SERIMA, suivie d’une mise à jour 72 h documentant les IOC et la rotation de secrets. Le rapport final, déposé sous 30 jours, a clos l’incident sans observation complémentaire de l’autorité. Résultat : conformité démontrée, gouvernance de crise apaisée.

Premiers pas concrets

  1. Enregistrez-vous sur SERIMA et vérifiez l’accès, les rôles et la procédure interne de validation (qui signe l’alerte 24 h ?). Faites un « test à blanc » cette semaine. SERIMA – ILR
  2. Fixez le déclencheur des 24 h : rédigez une règle claire « quand commence l’horloge » (moment de détection vs. de la première alerte) et les niveaux d’impact qui rendent un incident « significatif ». Pour le contexte local et les secteurs supervisés, consultez notre page NIS 2 Luxembourg.
  3. Activez la journalisation de base sur AD/Entra, VPN, firewalls, EDR et O365, centralisée dans un SIEM. Visez la conservation immuable et l’horodatage synchronisé (ISO 27001 A.8.15, A.8.16).
  4. Préparez les modèles de notification (24 h/72 h/1 mois) alignés sur les champs du guide ILR, avec une checklist IOC, mesures prises et dépendances critiques.
  5. Exercez-vous : un mini « tabletop » de 90 minutes pour enchaîner détection → décision « significatif » → pré-notification, en intégrant juridique/COM. Appuyez-vous sur les scénarios récents de crise testés au niveau UE (Cyber Europe 2026).

Sources officielles

Contactez-nous pour évaluer votre capacité d’alerte à 24 h et de notification à 72 h.

cybersecurite solution nis-2 soc siem incident-notification luxembourg
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos données ne sont jamais partagées. Conformité RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →