NIS 2 Luxembourg : J‑9 pour l’auto‑enregistrement ILR
Les entités essentielles et importantes au Luxembourg doivent s’auto‑enregistrer auprès de l’ILR d’ici le 10 juillet 2026. Points légaux, risques et plan d’action immédiat.
Échéance : au Luxembourg, les entités « essentielles » (EE) et « importantes » (EI) doivent s’auto‑enregistrer auprès de l’ILR au plus tard le 10 juillet 2026. Cette note synthétise les points légaux, les risques et les actions à réaliser cette semaine. Pour un cadrage local, voir NIS 2 Luxembourg.
Les faits
- Qui : Institut luxembourgeois de régulation (ILR), compétent NIS 2 pour la plupart des secteurs au Luxembourg; entreprises « essentielles » (EE) et « importantes » (EI) visées par la loi du 5 mai 2026.
- Quoi : Obligation d’auto‑enregistrement auprès de l’ILR et transmission d’informations permettant d’établir la liste officielle des EE/EI sous surveillance.
- Où : Luxembourg (portail ILR – NISS, formulaire d’auto‑enregistrement).
- Quand : La loi NIS 2 est entrée en vigueur le 10 mai 2026. L’article 11(4) de la loi fixe un délai de deux mois pour communiquer les informations à l’autorité compétente, soit une échéance au 10 juillet 2026. L’ILR confirme l’auto‑enregistrement via son site NIS 2.
- Combien : Le régime de sanctions NIS 2 prévoit jusqu’à 10 M€ ou 2 % du CA mondial pour les EE, et jusqu’à 7 M€ ou 1,4 % pour les EI en cas de manquements (selon gravité et catégorie).
Cadre légal et fondement
- Loi nationale : Loi du 5 mai 2026 « assurant un niveau élevé de cybersécurité » (entrée en vigueur le 10 mai 2026). L’article 11(4) impose de transmettre, dans les deux mois, les informations nécessaires à l’autorité compétente pour établir la liste des entités essentielles et importantes (échéance : 10 juillet 2026).
- Autorité compétente : ILR pour la plupart des secteurs; la CSSF supervise par dérogation certaines entités financières.
- Obligation d’auto‑enregistrement : confirmée par l’ILR (rubrique « Auto‑enregistrement de votre entité »).
- Directive européenne : Directive (UE) 2022/2555 (NIS 2). Points clés mobilisés après enregistrement : Art. 20 (responsabilité des organes de direction), Art. 21 (10 mesures minimales), Art. 23 (notification d’incident : alerte 24 h, notification 72 h, rapport final ≤ 1 mois), Art. 34 (sanctions). Une présentation des obligations NIS 2 facilite le mapping interne.
Ce que cette affaire change pour les entreprises luxembourgeoises
- Exposition immédiate : Toute entité répondant aux critères de la loi (secteurs des annexes I/II et taille, avec exceptions sectorielles) est susceptible d’être EE/EI. Sans auto‑enregistrement dans le délai, risque de non‑conformité formelle dès le 11 juillet 2026 et de supervision renforcée, demandes d’information ou mesures correctives.
- Effet déclencheur : L’auto‑enregistrement enclenche la classification EE/EI et encadre la supervision (ex ante + ex post pour EE; ex post pour EI), le processus de notification d’incident via SERIMA, et la vérification documentaire des mesures de sécurité (politique approuvée par la direction, MFA, sauvegardes, sécurité de la chaîne d’approvisionnement, etc.). Un audit de vos mesures de sécurité peut accélérer cette revue.
- Délai opérationnel : Il reste 9 jours (au 1er juillet 2026) pour : 1) confirmer l’éligibilité (secteur/tailles/Exceptions); 2) rassembler les informations demandées par l’ILR (identité, secteurs, points de contact, etc.); 3) déposer le formulaire d’auto‑enregistrement; 4) vérifier la capacité à notifier un incident dans les 24/72 h (SERIMA) et aligner RGPD si données personnelles impliquées. Coordonnez avec la notification CNPD (72 h RGPD) si nécessaire.
Actions concrètes à entreprendre cette semaine
1) Vérifier l’éligibilité et compléter l’auto‑enregistrement ILR
- Cartographiez vos activités par rapport aux annexes I/II (NIS 2) et à la loi luxembourgeoise; si dans le champ, complétez le formulaire « Self‑registration of your entity » de l’ILR sans attendre. Préparez : raison sociale, secteurs concernés, points de contact (technique, juridique, communication), filiales/sous‑traitants critiques.
2) Boucler le minimum « gouvernance + incident »
- Faites approuver par la direction la politique cybersécurité (Art. 20/21) et validez le process 24 h/72 h/1 mois pour incidents (SERIMA). Répétez à blanc une notification : qui alerte, qui remplit, quelles preuves; synchronisez avec la notification CNPD (72 h RGPD) en cas de données personnelles. Le pilotage cyber par un CISO externalisé peut accélérer ces arbitrages et la mise en conformité.
3) Sécuriser la chaîne d’approvisionnement critique
- Dressez la liste des prestataires TIC (MSP/MSSP/Cloud/SaaS) et vérifiez vos contrats : clauses de sécurité, notification d’incident contractuelle sous 24/72 h, MFA, chiffrement, sauvegardes testées. Programmez les mises à jour contractuelles et l’évidence de contrôle (revues périodiques).
Sources
- ILR – NIS 2 (overview + auto‑enregistrement + SERIMA) : ilr.lu
- Elvinger Hoss – « NIS2 is now in force in Luxembourg! » (délai 10 juillet 2026, art. 11(4))
- Journal officiel (ELI) – Loi du 5 mai 2026
Remarque : l’ILR centralise la documentation pratique (FAQ, mesures de sécurité, notification d’incident). Si vous êtes une entité financière, vérifiez la supervision CSSF et les recoupements DORA.
Article generé par la veille réglementaire Luxgap. Pour un accompagnement personnalisé sur ce sujet, contactez-nous.
Une question sur ce sujet ?
Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.
Configurer mon devis →