NIS 2 au Luxembourg: loi du 5 mai 2026 publiée, que faire avant le 10 mai

Résumé — La loi luxembourgeoise transposant NIS 2 a été publiée le 5 mai 2026 et entre en vigueur le 10 mai 2026. Elle élargit le champ d’application, renforce la gouvernance et impose l’alerte/notification d’incident en 24 h/72 h à l’ILR. Sources et actions clés ci‑dessous.

La règle générale

• Cadre UE (NIS 2). La directive (UE) 2022/2555 impose des mesures pour un niveau élevé commun de cybersécurité, distingue les entités essentielles (EE) et importantes (EI), formalise les responsabilités des organes de direction (art. 20), les mesures de gestion des risques (art. 21) et la notification d’incident (alerte sous 24 h, notification sous 72 h, rapport final sous 1 mois; art. 23), ainsi qu’un régime de sanctions (art. 34: jusqu’à 10 M€ ou 2 % CA monde pour EE; 7 M€ ou 1,4 % pour EI). Texte: https://eur-lex.europa.eu/eli/dir/2022/2555/oj.
• Transposition au Luxembourg. La directive est transposée par la loi du 5 mai 2026 “assurant un niveau élevé de cybersécurité”, en vigueur le 10 mai 2026; abrogation de NIS 1 et de certaines dispositions de la loi du 17 décembre 2021. Page ILR: https://www.ilr.lu/secteurs-activites/niss/nis-2/ et ELI Legilux: https://legilux.public.lu/eli/etat/leg/loi/2026/05/05/a225/jo.
• Autorités compétentes. L’ILR est compétente pour la plupart des secteurs; la CSSF pour le secteur bancaire et les infrastructures de marché financier (et, selon les activités, certaines infrastructures numériques et prestataires ICT sous sa surveillance). FAQ ILR: https://www.ilr.lu/en/sectors/niss/nis-2/frequently-asked-questions-about-nis2-faq/.
• Processus de notification. Alerte précoce “sans retard injustifié et au plus tard 24 h” après détection; notification sous 72 h; rapport final sous 1 mois (possible rapport intermédiaire). ILR: https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/.

Ce que dit le régulateur

• ILR (autorité NIS)
  • Périmètre et size‑cap: entités des annexes I/II dans le champ par défaut si seuil de taille atteint (moyenne/grande), avec exceptions (p. ex. communications électroniques, services de confiance, registres de domaines). https://www.ilr.lu/secteurs-activites/niss/nis-2/champ-application/.
  • Gouvernance et supervision: responsabilités des organes de direction (art. 20) et supervision différenciée EE/EI (ex ante + ex post pour EE; ex post pour EI). https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
  • Mesures minimales (art. 21): gestion des risques/incident, continuité, chaîne d’approvisionnement, développement sécurisé, évaluation d’efficacité, cyber‑hygiène/formation, chiffrement/MFA, etc. https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
• CSSF (secteur financier). Compétence sectorielle pour établissements de crédit et infrastructures de marché; articulation avec DORA et TIBER‑LU. https://www.cssf.lu/fr/tic-et-cyber-risque-pour-les-entites-dora/.
• EDPB et CNPD (RGPD). Si violation de données personnelles présentant un risque, notifier la CNPD sous 72 h (art. 33 RGPD). Lignes directrices EDPB 9/2022: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en; CNPD: https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees.html.
• Règlement d’exécution. Le règlement d’exécution (UE) 2024/2690 du 17 octobre 2024 précise la notification pour certains fournisseurs (cloud, DNS, MSP/MSSP, etc.), directement applicable; voir le lien depuis la page ILR NIS 2: https://www.ilr.lu/secteurs-activites/niss/nis-2/.

Comment l’appliquer en pratique

Cas d’une entreprise “importante” (manufacturing/ICT B2B), semaine du 5–10 mai 2026

1. Avant le 10 mai (J‑3 à J‑0)
   • Gouvernance et responsabilité: nommer un “NIS 2 owner”, faire approuver par les organes de direction les mesures de gestion des risques (art. 20–21) et planifier une formation accélérée. Base: art. 20–21; ILR “Mesures de sécurité NIS2” https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
   • Statut et enregistrement: vérifier l’appartenance aux annexes I/II et le size‑cap; démarrer l’auto‑enregistrement ILR. Base: ILR “Champ d’application” https://www.ilr.lu/secteurs-activites/niss/nis-2/champ-application/.
   • Mesures minimales Day‑1: finaliser un plan de réponse à incident (alerte 24 h, notification 72 h via SERIMA), cartographier les points de contact (juridique, CISO, DPO). Base: ILR “Notification d’incident” https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/.
   • Contrôles techniques clés: mettre en place MFA sur accès sensibles, sauvegardes/restaurations testées, processus de divulgation de vulnérabilités. Base: art. 21; ILR “Mesures de sécurité NIS2” https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
   • Chaîne d’approvisionnement: lancer un “flash assessment” fournisseurs critiques (MSP/MSSP/éditeurs): clauses sécurité, délais de notification 24 h/72 h, MFA/chiffrement contractuels. Base: art. 21(2) f) https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
2. Pendant un incident (dès détection)
   • T0–24 h: alerte précoce à l’ILR (ou CSIRT), ouverture d’un ticket SERIMA, communication de crise. Base: ILR “Notification d’incident” https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/.
   • T0–72 h: notification formelle (faits, impact, mesures), mises à jour intermédiaires si demandé. https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/.
   • T+1 mois: rapport final (ou intermédiaire si l’incident se poursuit; prolongation max. 1 mois). https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/.
   • Si données personnelles en cause et risque pour les personnes: notification CNPD sous 72 h (RGPD) et, si nécessaire, information des personnes; coordonner NIS 2 et RGPD. EDPB 9/2022: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en; CNPD: https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees.html.
3. Après (sous 90 jours)
   • Finaliser l’analyse de risques couvrant tous les réseaux/SI soutenant l’activité; valider PCA/PRA; documenter les contrôles pour supervision (ex post EI; ex ante + ex post EE). Base: ILR “Mesures de sécurité NIS2” https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
   • Mettre à jour les contrats fournisseurs prioritaires (SLA sécurité, escalade, notification, audit) et instaurer un suivi régulier. Base: art. 21(2) https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
   • Former les organes de direction régulièrement et tracer l’approbation des mesures de cybersécurité. Base: art. 20; ILR “Mesures de sécurité NIS2” https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.

Qui est concerné (EE vs EI)

• Essentielles (annexe I): énergie, transport, banques, infrastructures de marché financier, santé, eau, infrastructures numériques (IXP, DNS, registres TLD, cloud, data centers, CDN, prestataires de services de confiance, opérateurs publics de communications), MSP/MSSP, administration publique, espace. Réf. ILR (FAQ, champ d’application): https://www.ilr.lu/en/sectors/niss/nis-2/frequently-asked-questions-about-nis2-faq/.
• Importantes (annexe II): postes/courrier, déchets, chimie, agroalimentaire, sous‑secteurs manufacturing, fournisseurs numériques, recherche. Réf. ILR: https://www.ilr.lu/en/sectors/niss/nis-2/frequently-asked-questions-about-nis2-faq/.
• Règle du size‑cap: entreprises moyennes et grandes concernées par défaut, avec exceptions sectorielles. Réf. ILR “Champ d’application”: https://www.ilr.lu/secteurs-activites/niss/nis-2/champ-application/.

Sanctions

• NIS 2: EE jusqu’à 10 M€ ou 2 % du CA mondial (le plus élevé); EI jusqu’à 7 M€ ou 1,4 %. Base: art. 34 NIS 2: https://eur-lex.europa.eu/eli/dir/2022/2555/oj.
• Supervision: EE (ex ante + ex post), EI (ex post), avec demandes d’information, audits, ordonnances de mise en conformité. Réf. ILR: https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.

Pièges fréquents

1. Se limiter aux “systèmes critiques” hérités de NIS 1: NIS 2 couvre tous les réseaux/SI soutenant l’activité (art. 21). https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
2. Oublier la chaîne d’approvisionnement (MSP/MSSP, SaaS): aligner contrats et preuves de contrôles (art. 21(2)). https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
3. Confondre délais NIS 2 et RGPD: NIS 2 (24 h/72 h) n’exonère pas la notification CNPD sous 72 h. ILR “Notification d’incident”; EDPB 9/2022; CNPD. https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/ — https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en — https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees.html.
4. Négliger la formation des organes de direction (art. 20) et leur responsabilité. https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/.
5. Attendre des “listes officielles”: logique d’auto‑identification/auto‑enregistrement; contrôles à mettre en place dès l’entrée en vigueur. FAQ ILR: https://www.ilr.lu/en/sectors/niss/nis-2/frequently-asked-questions-about-nis2-faq/.

Sources officielles

• ILR – NIS 2 (vue d’ensemble): https://www.ilr.lu/secteurs-activites/niss/nis-2/
• ILR – Champ d’application: https://www.ilr.lu/secteurs-activites/niss/nis-2/champ-application/
• ILR – Mesures de sécurité/supervision: https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/
• ILR – Notification d’incident: https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/
• Loi luxembourgeoise (ELI): https://legilux.public.lu/eli/etat/leg/loi/2026/05/05/a225/jo
• Texte UE NIS 2 (EUR‑Lex): https://eur-lex.europa.eu/eli/dir/2022/2555/oj
• ILR – FAQ NIS 2: https://www.ilr.lu/en/sectors/niss/nis-2/frequently-asked-questions-about-nis2-faq/
• CSSF – TIC et cyber‑risque (DORA/TIBER‑LU): https://www.cssf.lu/fr/tic-et-cyber-risque-pour-les-entites-dora/
• EDPB – Lignes directrices 9/2022: https://www.edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-92022-personal-data-breach-notification-under_en
• CNPD – Violation de données: https://cnpd.public.lu/fr/professionnels/obligations/violation-de-donnees.html

En synthèse — Au 7 mai 2026, les entreprises luxembourgeoises potentiellement concernées doivent se considérer “in scope” selon leurs activités et leur taille, s’auto‑enregistrer, acter la responsabilité des organes de direction, sécuriser la chaîne d’approvisionnement et outiller immédiatement l’alerte/notification d’incident 24 h/72 h via SERIMA, en coordonnant si besoin la notification RGPD à la CNPD sous 72 h. https://www.ilr.lu/secteurs-activites/niss/nis-2/

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.