NIS 2 – Article 21 au Luxembourg: que contrôle réellement l’ILR ?

La règle générale

La directive (UE) 2022/2555 dite NIS 2 impose aux entités essentielles et importantes de mettre en place des mesures techniques, organisationnelles et opérationnelles “appropriées et proportionnées” pour gérer les risques pesant sur la sécurité des réseaux et systèmes d’information et pour réduire l’impact des incidents. Ces mesures couvrent au moins 10 domaines listés à l’article 21, paragraphe 2 (politique de risque SSI, gestion d’incident, continuité d’activité, chaîne d’approvisionnement, sécurité du développement, évaluation d’efficacité, cyber‑hygiène/formation, cryptographie, sécurité RH/contrôles d’accès/gestion d’actifs, MFA/communications sécurisées). Voir le texte officiel sur EUR‑Lex, article 21. (eur-lex.europa.eu)

Au Luxembourg, l’ILR précise que l’article 20 NIS 2 rend les organes de direction responsables: ils “approuvent” les mesures de gestion des risques prévues à l’article 21, en supervisent l’exécution et peuvent être tenus responsables en cas de manquement. L’ILR présente également le régime de supervision: contrôle ex ante renforcé pour les “entités essentielles”, contrôle ex post pour les “entités importantes”. (ilr.lu)

Point sectoriel: pour le secteur financier (entités relevant de la CSSF), NIS 2 reconnaît l’existence de DORA et évite les doublons; certaines obligations NIS 2 ne s’appliquent pas ou sont articulées avec DORA. Voir considérants et renvois de NIS 2. (nis2resources.eu)

Ce que dit le régulateur

• ILR – “Mesures de sécurité et supervision sous NIS 2”. L’ILR reprend mot pour mot le contenu de l’article 21(1) et (2), rappelle la responsabilité des dirigeants (art. 20) et annonce la possibilité de demander, après incident, des informations supplémentaires sur les mesures mises en œuvre. La page décrit aussi la mécanique de supervision (ex ante pour essentielles; ex post pour importantes). (ilr.lu)
• ILR – FAQ NIS 2. L’ILR confirme son rôle d’autorité compétente (sur base du projet de loi 8364) pour la majorité des secteurs (la CSSF restant compétente pour certains périmètres financiers et infrastructures numériques). La FAQ détaille que l’article 21(2)(h) et (j) exige une approche “tous risques” pour la cryptographie et l’authentification multifacteur (MFA) et recommande l’alignement sur les normes européennes et internationales. (ilr.lu)
• ENISA – Lignes techniques d’implémentation NIS 2. ENISA publie un guide pratique de mise en œuvre des mesures de l’article 21 pour les secteurs “infrastructures numériques, ICT service management et fournisseurs numériques”, avec exemples d’évidences et tableaux de correspondance des exigences. (enisa.europa.eu)
• Texte de l’UE – EUR‑Lex. Pour citer exactement les exigences et responsabilités (articles 20 et 21), se référer à la version consolidée de la directive NIS 2. (eur-lex.europa.eu)

Comment l’appliquer en pratique

Avant de démarrer, identifiez si vous êtes “entité essentielle” ou “importante” selon l’annexe I/II et le “size‑cap” (avec exceptions: fournisseurs de communications électroniques, prestataires de confiance, TLD, DNS, etc.). L’ILR détaille ces critères et exceptions. (ilr.lu)

1) Avant le traitement – cadrer et documenter

• Gouvernance et responsabilité (art. 20): faites approuver par le conseil/direction une Politique de gestion du risque cyber qui couvre les 10 domaines de l’art. 21(2). Planifiez la formation régulière des dirigeants et leur rôle de supervision. Preuve attendue: PV du conseil, charte SSI, plan de formation des administrateurs. (ilr.lu)
• Analyse de risques “tous risques” (21(1)): réalisez une EBIOS/ISO 27005 couvrant menaces cyber et physiques affectant les systèmes critiques, y compris prestataires et OT si applicable. Preuves: registre des actifs, cartographie des dépendances, rapport de risque et plan de traitement. (eur-lex.europa.eu)
• Chaîne d’approvisionnement (21(2)(d)): segmentez vos fournisseurs par criticité, exigez clauses de sécurité, tests d’intrusion/assurance tierce pour services managés/MSSP, validez l’emplacement des données et l’accès distant. Preuves: matrices de criticité, clauses, résultats d’audits. (eur-lex.europa.eu)
• MFA et chiffrement (21(2)(h) et (j)): définissez une politique crypto (algorithmes, tailles de clé, gestion de cycle de vie, KMS/HSM) et un standard MFA par usage (administration, accès distants, transactions sensibles). L’ILR recommande de suivre les bonnes pratiques européennes/internationales; ENISA fournit des guides techniques. Preuves: politiques, configurations, registres d’exceptions. (ilr.lu)

2) Pendant – opérer et surveiller

• Gestion des incidents (21(2)(b)): établissez un processus SOC/CSIRT avec procédures d’escalade et de notification. Pour les délais NIS 2 (alerte 24 h, notification 72 h, rapport final 1 mois), l’ILR publie un guide détaillé et utilise SERIMA comme portail centralisé. Preuves: playbooks, enregistrements d’alertes, exercices. (ilr.lu)
• Continuité et reprise (21(2)(c)): testez restauration de sauvegardes chiffrées, PRA/PCA, gestion de crise avec communications sécurisées (exigence explicite de 21(2)(j)). Preuves: rapports de tests, journal de bascules, comptes‑rendus de cellules de crise. (eur-lex.europa.eu)
• Sécurité du développement et gestion des vulnérabilités (21(2)(e)): intégrez SAST/DAST, SBOM, politique de divulgation coordonnée (CVD). ENISA propose des mappings et exemples d’évidences. Preuves: pipelines CI/CD, tickets de remédiation, programme CVD. (enisa.europa.eu)
• Évaluation d’efficacité et cyber‑hygiène/formation (21(2)(f) et (g)): mettez en place des KPIs/KRIs, campagnes anti‑phishing, durcissement postes/serveurs, patching. Preuves: tableaux de bord, rapports de conformité, attestation de formation. (eur-lex.europa.eu)

3) Après – améliorer et répondre au superviseur

• Ex ante/ex post: si vous êtes “entité essentielle”, anticipez des demandes ILR sur vos mesures (ex ante). Les “entités importantes” peuvent être sollicitées après incident ou sur demande spécifique. L’ILR le précise sur son site et dans la FAQ. Préparez un “dossier de preuves” aligné sur les 10 domaines. (ilr.lu)
• Levier ENISA: utilisez la “Technical Implementation Guidance” pour structurer vos contrôles et vos artefacts (politiques, journaux, rapports de tests, preuves d’exécution). (enisa.europa.eu)

Exemple concret

PME “importante” du secteur énergie:

• Avant: la direction approuve une politique SSI, une politique crypto (AES‑256/GCM au repos, TLS 1.3 en transit, rotation des clés 12 mois), et un standard MFA (FIDO2 pour admins, TOTP pour utilisateurs).
• Pendant: SOC externe avec SLA de 15 minutes pour détection d’incidents critiques; sauvegardes immuables 7/14/30; tests PRA semestriels; SBOM pour applications internes; CVD publié.
• Après: suite à un incident phishing, notification ILR via SERIMA en 72 h; fourniture, sur demande ILR, du registre des accès privilégiés, des preuves d’activation MFA et de la matrice de criticité fournisseurs. Référentiels et preuves cadrés selon ENISA. (ilr.lu)

Pièges fréquents

• Penser “MFA = partout, peu importe comment”. L’ILR rappelle une approche “tous risques” et recommande l’alignement sur les normes: sans politique différenciée par usage et niveau de risque, vous serez en défaut d’“appropriation/proportionnalité” au sens de l’article 21. (ilr.lu)
• Négliger la chaîne d’approvisionnement digitale (MSSP, cloud, M365). L’article 21(2)(d) cite explicitement la supply chain: absence de due diligence, de clauses cyber et d’évidences d’audit est un motif classique de demande ILR. (eur-lex.europa.eu)
• Limiter la continuité aux sauvegardes. NIS 2 vise aussi la gestion de crise et les communications d’urgence sécurisées (21(2)(c) et (j)). Sans plan de communication et canal chiffré hors bande, la résilience est incomplète. (eur-lex.europa.eu)
• Oublier la responsabilité des dirigeants. L’ILR met l’art. 20 au premier plan: pas de formation des administrateurs, pas d’approbation formelle des mesures = non‑conformité potentielle et responsabilité engagée. (ilr.lu)
• Confondre périmètre NIS 2 et DORA/CSSF. Les entités financières doivent articuler leurs contrôles: NIS 2 reconnaît DORA pour éviter les doublons. Ignorer cette articulation expose à des écarts ou redondances inutiles. (nis2resources.eu)

Sources officielles

• Directive (UE) 2022/2555 (NIS 2) – Articles 20 et 21 – EUR‑Lex: https://eur-lex.europa.eu/eli/dir/2022/2555/oj (eur-lex.europa.eu)
• ILR – Mesures de sécurité et supervision sous NIS 2 (FR): https://www.ilr.lu/secteurs-activites/niss/nis-2/mesures-securite-nis2/ (ilr.lu)
• ILR – Security measures and supervision under NIS2 (EN): https://www.ilr.lu/en/sectors/niss/nis-2/security-measures-and-supervision-under-nis2/ (ilr.lu)
• ILR – FAQ NIS 2 (EN et FR): https://www.ilr.lu/en/sectors/niss/nis-2/frequently-asked-questions-about-nis2-faq/ et https://www.ilr.lu/faq/niss/ (ilr.lu)
• ILR – Notification d’incident sous NIS2 (FR/EN): https://www.ilr.lu/secteurs-activites/niss/nis-2/notification-incident-nis2/ et https://www.ilr.lu/en/sectors/niss/nis-2/incident-notification-under-nis2/ (ilr.lu)
• ENISA – NIS2 Technical Implementation Guidance: https://www.enisa.europa.eu/publications/nis2-technical-implementation-guidance (enisa.europa.eu)

Remarque de contexte Luxembourg (mai 2026): l’ILR indique sur ses pages NIS 2 que ses explications peuvent évoluer “en particulier selon la transposition” et confirme, via sa FAQ, le rôle de l’ILR/CSSF tel que prévu par le projet de loi 8364. Vérifiez régulièrement les mises à jour ILR. (ilr.lu)

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.