NIS 2 au Luxembourg: attentes de l’ILR sur les 10 mesures (art. 21)

Fait déclencheur. Depuis l’entrée en vigueur de la loi du 5 mai 2026 (transposition NIS 2), l’ILR publie une page « Mesures de sécurité et supervision » qui détaille, point par point, les exigences minimales de l’article 21 et le régime de contrôle associé. Enseignement: les directions doivent approuver et prouver ces mesures, MFA et chaîne d’approvisionnement incluses. Voir ILR — Entrée en vigueur (mai 2026) et ILR — Mesures de sécurité et supervision. Pour le texte légal: EUR‑Lex — Directive (UE) 2022/2555 (art. 20 et 21).

L’affaire

Le 5 mai 2026, le Luxembourg a transposé la directive (UE) 2022/2555 dite NIS 2. L’ILR, autorité compétente pour de nombreux secteurs, a confirmé l’entrée en vigueur et met à disposition un corpus opérationnel « NIS 2 » incluant une page structurée « Mesures de sécurité et supervision » où sont reprises, in extenso, les dix mesures minimales de l’article 21(2) et la responsabilité des organes de direction (art. 20). Cette page précise notamment l’exigence d’« utilisation de solutions d’authentification à plusieurs facteurs […] et de communications sécurisées » et le distinguo supervision ex ante/ex post entre entités essentielles et importantes. Références: ILR — Entrée en vigueur, ILR — Mesures de sécurité et supervision.

En appui, l’ENISA a publié le 26 juin 2025 un « NIS2 Technical Implementation Guidance » destiné à opérationnaliser ces mesures (preuves attendues, exemples, cartographies). Ressource non normative mais recommandée par les autorités: ENISA — NIS2 Technical Implementation Guidance (26/06/2025). L’ILR complète ce dispositif par des FAQ et précise les mécanismes et supports (SERIMA) utilisés pour la supervision et les notifications: ILR — FAQ NIS2 et ILR — SERIMA.

Le raisonnement juridique

• Base. L’article 21(1) NIS 2 impose des « mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » pour gérer les risques SI et « prévenir ou minimiser » l’impact des incidents. L’article 21(2) énumère dix domaines: politiques de risque, gestion d’incident, continuité/BCP sauvegardes et PRA, sécurité de la chaîne d’approvisionnement, sécurité du cycle de vie (acquisition/développement/maintenance) y compris gestion/divulgation des vulnérabilités, évaluation d’efficacité des mesures, cyber‑hygiène et formation, cryptographie/chiffrement, sécurité RH/contrôle d’accès/gestion d’actifs, MFA et communications sécurisées. Référence: EUR‑Lex art. 21.
• Gouvernance. L’article 20 rend l’organe de direction responsable: il approuve les mesures de l’art. 21, supervise leur exécution et peut être tenu responsable en cas de manquement. L’ILR l’exige et demande une formation régulière du management pour évaluer la gestion des risques cyber. Voir section « Management bodies responsibility ». Pour structurer ce pilotage, des prestations de pilotage cyber peuvent être mobilisées.
• Supervision. Régime différencié: entités essentielles sous supervision « complète » (ex ante + ex post), importantes sous supervision ex post. Concrètement, des livrables (description des mesures, analyse de risques) peuvent être requis régulièrement pour les essentielles; les importantes doivent fournir ces éléments « après incident et sur demande ». Voir ILR — Supervision.
• Méthode. L’ENISA fournit des guides techniques qui traduisent ces obligations en contrôles et « evidence » auditables (exemples de preuves, mappings). Conçus notamment pour « digital infrastructure », « ICT service management » et « digital providers ». Référence: ENISA — Guidance 2025.

Pour un cadrage local, voir aussi la directive NIS 2 et notre page dédiée « NIS 2 Luxembourg ».

Ce que ça change concrètement

• MFA et communications sécurisées. Ce ne sont pas des « bonnes pratiques facultatives » mais des exigences explicites: « utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue » et de « communications vocales, vidéo et textuelles sécurisées » au sein de l’entité (art. 21(2)(j)). Pour un groupe luxembourgeois multi‑filiales: MFA robuste pour accès VPN/SSO, messageries chiffrées selon le risque, et procédures d’urgence. Réf.: ILR — Mesures de sécurité.
• Chaîne d’approvisionnement. L’art. 21(2)(d) impose de couvrir les risques liés aux fournisseurs et prestataires directs. En pratique: due diligence sécurité, clauses contractuelles, revues de SOC 2/ISO 27001, exigences de divulgation de vulnérabilités, preuves de surveillance continue. Réf.: EUR‑Lex art. 21(2)(d) et ENISA — Guidance 2025.
• Continuité et sauvegardes. L’art. 21(2)(c) cible BCP/DRP et gestion des sauvegardes. Pour les dirigeants: sauvegardes chiffrées, isolées et testées, plans de reprise horodatés, RTO/RPO alignés. Réf.: EUR‑Lex art. 21(2)(c). Pour accélérer la mise en place, appuyez‑vous sur des plans de continuité éprouvés.
• Essentielles vs importantes. Une entité « importante » ne peut pas s’exonérer des mesures: l’art. 21 s’applique à toutes, seul le mode de supervision change. Attendez‑vous à des demandes ILR « après incident et sur demande » pour prouver vos mesures. Réf.: ILR — Supervision.
• Articulation locale. L’ILR précise ses missions NISS et l’usage du portail SERIMA pour la gestion/notification des incidents (surtout art. 23): ILR — Missions NISS et ILR — SERIMA.

Exemples concrets

• Hôpital (essentiel). Inventaire d’actifs à jour, MFA pour accès cliniques distants, EDR/XDR, segmentation OT/IoT, sauvegardes immuables testées, playbooks IR et exercices de crise; fournir ex ante une description des mesures et, post‑incident, compléter à la demande. Réf.: ILR — Supervision ex ante/ex post.
• MSP (important). Politique de divulgation de vulnérabilités, preuve de patching régulier, clauses de sécurité dans contrats clients/fournisseurs, MFA/SSO renforcé; non dispensé des mesures, seulement des remises régulières sauf demande/incident. Réf.: EUR‑Lex art. 21.

Pièges fréquents

1. Confondre « proportionné » et « facultatif ». La proportionnalité de l’art. 21(1) n’autorise pas à omettre MFA, sauvegardes testées ou gestion de vulnérabilités si le risque l’exige; l’ILR liste ces éléments comme attendus. Réf.: ILR — Mesures de sécurité.
2. Limiter la chaîne d’approvisionnement aux seuls fournisseurs « critiques ». L’art. 21(2)(d) vise les fournisseurs et prestataires directs pertinents; un contrat SaaS RH peut exposer des données sensibles et doit être couvert (due diligence, clauses, preuves). Réf.: EUR‑Lex art. 21(2)(d).
3. Ne pas impliquer formellement l’organe de direction. L’art. 20 impose une approbation et une supervision par le management, avec formation régulière. L’ILR le rappelle: consignez décisions, formations et revues. Réf.: Responsibility of management bodies.
4. Continuité « sur le papier » sans preuves. L’ENISA attend des éléments vérifiables: rapports de tests de restauration, résultats d’exercices, journaux de réplication, preuves d’isolement des sauvegardes. Réf.: ENISA — Guidance 2025.
5. Mélanger NIS 2 et RGPD sans cartographie claire. Les exigences peuvent converger (chiffrement, contrôle d’accès) mais les bases juridiques et régimes de preuve diffèrent; documentez les contrôles partagés et les artefacts de preuve pour chaque régime. Pour une vue d’ensemble, voir RGPD Luxembourg.

Ces documents, publiés ou tenus à jour entre juin 2025 et mai‑juin 2026, fixent l’état de référence. Pour les dirigeants luxembourgeois, la ligne est claire: faites approuver vos mesures par le conseil (art. 20), alignez‑les explicitement sur les dix exigences minimales (art. 21), et constituez dès maintenant un dossier de preuves vérifiables conforme aux attentes de l’ILR. Besoin d’un accompagnement? Contactez‑nous via la page contact.

Article d'expertise Luxgap. Pour un cadrage personnalise sur ce sujet, contactez-nous ou configurez votre devis en ligne.