NIS 2 au Luxembourg: notifier un incident à l’ILR en 24h/72h/1 mois

Excerpt — La Directive NIS 2 impose un chaînage de notification strict: alerte précoce sous 24h, notification formelle à 72h et rapport final sous 1 mois. Au Luxembourg, l’ILR et le CSIRT national (CIRCL) sont vos interlocuteurs clés.

La règle générale

L’article 23 de la Directive (UE) 2022/2555 (“NIS 2”) encadre la notification des incidents “ayant un impact significatif” sur les services des entités essentielles et importantes. La séquence est la suivante: (1) alerte précoce dans les 24 heures, (2) notification dans les 72 heures, (3) rapport final au plus tard un mois après la notification initiale. Le texte détaille aussi le contenu attendu à chaque étape et précise la coopération entre autorités, notamment quand un incident implique aussi une violation de données au sens du RGPD. Voir le texte officiel: Article 23, NIS 2.

Au Luxembourg, l’ILR (Institut Luxembourgeois de Régulation) précise publiquement ce calendrier en trois temps et son périmètre NIS 2 (annexes I/II, règle du “size-cap”, et auto-enregistrement). Notification d’incident — ILR et Champ d’application — ILR.

Attention secteur financier: selon la FAQ NIS 2 de l’ILR, le projet de loi luxembourgeois désigne la CSSF comme autorité compétente pour le secteur bancaire, les infrastructures de marché et certaines activités numériques sous sa surveillance; l’ILR couvre la grande majorité des autres secteurs. Vérifiez votre autorité de référence avant de notifier. FAQ NIS 2 — ILR.

Ce que dit le régulateur

• ILR — processus 24h/72h/1 mois: l’ILR décrit les “3 étapes clés (alerte précoce à 24h, notification formelle à 72h, rapport final à 1 mois)” et indique que des informations intermédiaires peuvent être demandées par l’autorité compétente ou le CSIRT. Notification d’incident NIS 2 — ILR.
• Rôle du CSIRT (CIRCL): le CSIRT national reçoit les signalements et assiste au traitement des incidents. Les canaux de contact et le formulaire anonyme sont publics. CIRCL — Report an incident.
• NIS 2 — contenu et enchaînement: l’article 23 NIS 2 fixe les obligations, délais et informations minimales pour l’alerte précoce, la notification à 72h, et le rapport final à 1 mois; il précise également la coordination avec d’autres régimes (par ex. RGPD) et la non‑aggravation de responsabilité par le seul fait de notifier. Directive (UE) 2022/2555, art. 23 — Publications Office.
• ENISA — bonnes pratiques: l’agence publie des guides techniques pour opérationnaliser NIS 2 (mesures art. 21, gestion d’incident, preuves attendues), utiles pour structurer vos éléments de preuve et vos rapports. ENISA — NIS2 Technical Implementation Guidance et page “Threats and Incidents” (rappels sur délais 24h/72h). ENISA — Threats and Incidents.

Comment l’appliquer en pratique

Exemple: un fournisseur d’infrastructure numérique (Annexe I) détecte le 3 mai 2026 à 09:00 un incident de ransomware affectant un cluster de DNS secondaires.

Avant (préparation)

1. Gouvernance et désignation: identifiez votre autorité compétente (ILR ou CSSF selon activité) et le CSIRT de rattachement (CIRCL). Documentez les contacts 24/7. FAQ NIS 2 — ILR; CIRCL — Report.
2. Procédure de notification intégrée: alignez votre playbook incident avec l’art. 23: minute “T0” = détection, T+24h alerte précoce, T+72h notification, T+30j (calendaires) rapport final. Joignez un modèle interne reprenant les champs exigés.
3. Convergence RGPD/DORA/EECC: préparez une matrice “qui-notifie-quoi”: si l’incident implique des données personnelles, enclenchez aussi RGPD art. 33 vers la CNPD; si entité financière, articulez avec cadres CSSF/DORA. L’art. 23 NIS 2 prévoit une coordination entre autorités lorsqu’un incident peut aussi constituer une violation de données. Directive (UE) 2022/2555, considérants et art. 23.

Pendant (gestion et notifications)

1. Dans les 24 heures (alerte précoce): envoyez à l’ILR (ou CSSF) et/ou au CSIRT (CIRCL) une alerte contenant a minima: résumé de l’incident, indicateurs préliminaires (ex. IoC connus), hypothèse d’action illicite, impacts potentiels, caractère transfrontalier, premières mesures de mitigation. Gardez la traçabilité des horodatages. ILR — Notification d’incident; Directive art. 23.
2. À 72 heures (notification): fournissez une mise à jour structurée: étendue confirmée, causes probables, vecteur d’intrusion, IoC validés, systèmes/services affectés, dépendances de la supply chain, mesures prises et planifiées, besoin d’assistance, communication aux utilisateurs si nécessaire. Directive art. 23.
3. Interaction continue: répondez aux demandes d’informations intermédiaires de l’ILR/CSIRT. Partagez de façon responsable les IoC pertinents (cf. NIS 2 sur le partage d’informations) pour limiter les effets systémiques. ILR — Notification d’incident.
4. À 1 mois (rapport final): livrez une analyse causale complète (timeline, cause racine, faille exploitée), l’évaluation d’impact (disponibilité/intégrité/confidentialité), les mesures correctives et préventives, et les leçons apprises. Directive art. 23.

Après (clôture et preuves)

1. Preuve de conformité: archivez vos échanges, décisions, journaux et éléments techniques (captures, hashs, tickets d’intervention) — l’ENISA fournit des exemples d’“evidence” utiles aux audits. ENISA — NIS2 Technical Implementation Guidance.
2. Améliorations: mettez à jour cartographie des dépendances, matrices de risques, contrôles art. 21 (MFA, gestion des accès, chiffrement, continuité). ILR — Mesures de sécurité et supervision.

“Template” minimaliste des contenus

• Alerte 24h: date/heure de détection; description brève; suspicion d’acte illicite; secteurs/États affectés; services impactés; indicateurs préliminaires; mesures immédiates; point de contact 24/7. Directive art. 23; ILR — Notification.
• Notification 72h: étendue confirmée; analyse technique (TTP, IoC); systèmes et données affectées; dépendances critiques (fournisseurs/clients); mesures techniques/organisationnelles déployées; communication aux utilisateurs/clients; besoins d’assistance/coordination.
• Rapport final (≤ 1 mois): chronologie horodatée; cause racine; impact quantifié; preuves clés; mesures correctives déployées et plan de prévention; enseignements; points restants/risques résiduels.

Pour le canal au Luxembourg, privilégiez l’ILR (ou CSSF pour le financier) et le CSIRT national CIRCL, qui publie ses modalités de signalement. CIRCL — Report; FAQ NIS 2 — ILR.

Pièges fréquents observés en audit

1. Attendre la “certitude” avant l’alerte précoce. L’art. 23 exige une alerte sous 24h “sans retard indu” même avec informations incomplètes; la mise à jour à 72h sert justement à compléter. Directive art. 23.
2. Notifier le mauvais interlocuteur. Vérifiez votre autorité compétente (ILR vs CSSF) en fonction de l’activité réelle visée par NIS 2. FAQ NIS 2 — ILR.
3. Oublier la coordination RGPD. Si des données personnelles sont touchées, enclenchez en parallèle l’art. 33 RGPD vers la CNPD; NIS 2 prévoit des passerelles d’information entre autorités. Directive NIS 2 — art. 23 (coopération avec autorités RGPD).
4. Preuves et horodatages lacunaires. Les rapports sans journaux, IoC, hachages ou timeline détaillée nuisent à l’évaluation et à la défense de la proportionnalité des mesures.
5. Sous-estimer la supply chain. NIS 2 renforce les obligations de gestion des risques fournisseurs (art. 21); documentez vos dépendances critiques et impacts en cascade. ENISA — NIS2 Technical Implementation Guidance.

Sources officielles

• Directive (UE) 2022/2555 (“NIS 2”), article 23 — obligations de notification d’incident, délais et contenus attendus. Office des publications de l’UE: https://op.europa.eu/en/publication-detail/-/publication/20207a5f-c57c-11ee-95d9-01aa75ed71a1/language-en.
• ILR — Notification d’incident NIS 2 (processus 24h/72h/1 mois): https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/.
• ILR — Champ d’application (annexes I/II, size‑cap, auto‑enregistrement): https://www.ilr.lu/secteurs-activites/niss/nis-2/champ-application/.
• ILR — Mesures de sécurité et supervision (art. 20/21, ex ante/ex post): https://www.ilr.lu/en/sectors/niss/nis-2/security-measures-and-supervision-under-nis2/.
• ILR — FAQ NIS 2 (répartition ILR/CSSF selon secteurs; rappel des délais): https://www.ilr.lu/faq/niss/.
• CIRCL — CSIRT national, canaux de notification: https://www.circl.lu/report/.
• ENISA — NIS2 Technical Implementation Guidance (preuves, mise en œuvre): https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance.
• ENISA — Threats and Incidents (rappels pratiques sur 24h/72h): https://www.enisa.europa.eu/topics/state-of-cybersecurity-in-the-eu/threats-and-incidents.

Remarque de calendrier: nous sommes le 3 mai 2026. Certaines pages ILR renvoient encore au projet de loi national, mais l’ILR publie déjà le processus 24h/72h/1 mois et les secteurs visés. Vérifiez vos obligations sectorielles (ILR vs CSSF) et préparez vos modèles de notification en conséquence.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.