← Tous les articles

Veille reglementaire

NIS 2 Luxembourg : loi du 5 mai 2026 publiee, auto-enregistrement ILR jusqu'au 10 juillet 2026

La loi luxembourgeoise du 5 mai 2026 transposant la directive NIS 2 est entree en vigueur. Les entites essentielles et importantes ont jusqu'au 10 juillet 2026 pour s'auto-enregistrer aupres de l'ILR.

Par Veille Luxgap 15/05/2026

La loi du 5 mai 2026 portant transposition de la directive (UE) 2022/2555 dite NIS 2 a ete publiee au Journal officiel du Grand-Duche le 10 mai 2026 (memorial A n. 225). Le texte est entre en vigueur a cette date. Pour les entreprises concernees, le compte a rebours legal a commence.

L'essentiel a retenir

Premier point cle : un delai legal de deux mois s'est ouvert pour l'auto-enregistrement aupres de l'Institut luxembourgeois de regulation (ILR), autorite competente designee pour superviser les operateurs NIS 2 au Luxembourg. Cette obligation arrive a echeance le 10 juillet 2026. Toutes les entites visees doivent se declarer via le portail dedie : ilr.lu/secteurs-activites/niss/nis-2.

L'auto-enregistrement n'est pas une simple formalite : il declenche l'identification officielle de votre organisation comme entite essentielle (EE) ou entite importante (EI), et conditionne ensuite l'exercice des controles, des obligations de reporting d'incident, et la formule de calcul des sanctions.

Qui est concerne ?

La loi distingue deux categories d'assujettis sur la base des criteres de la directive :

  • Entites essentielles : grandes entreprises (>250 salaries ou CA >50 M€) dans 11 secteurs critiques (energie, transport, banques, marches financiers, sante, eau potable et eaux usees, infrastructure numerique, gestion services TIC B2B, administration publique, espace, fabrication produits chimiques et pharmaceutiques).
  • Entites importantes : entreprises moyennes (50-250 salaries ou CA 10-50 M€) dans les memes secteurs, plus 7 secteurs additionnels (services postaux et de messagerie, gestion des dechets, fabrication, production et distribution alimentaire, recherche, services numeriques).

Au Luxembourg, l'ILR a deja identifie plus de 1 200 entreprises potentiellement concernees, qui doivent recevoir une notification individuelle. Mais l'auto-enregistrement reste une obligation positive : ne pas avoir recu de courrier de l'ILR n'exonere pas l'organisation de la demarche si elle remplit les criteres.

Ce qu'il faut preparer pour s'enregistrer

Concretement, le formulaire ILR demande :

  • Identification de l'entreprise (RCS, secteur d'activite NACE, effectifs, CA).
  • Coordonnees d'un point de contact securite (souvent le CISO ou RSSI), avec adresse mail et telephone joignables 24/7.
  • Liste des services critiques fournis et des sites d'exploitation au Luxembourg.
  • Si applicable, identification du representant europeen (pour les entites non etablies dans l'UE).

Avant de remplir le formulaire, prevoyez en interne une nomination formelle du responsable cyber, voire la designation d'un mandat externe de CISO si la fonction n'est pas dotee. La loi engage la responsabilite personnelle des dirigeants en cas de manquement (article 20 de la directive).

Apres l'enregistrement : les obligations declenchees

L'auto-enregistrement n'est que le point d'entree. Une fois identifie, l'operateur doit :

  • Mettre en place une politique de gestion des risques cyber (article 21 de la directive) couvrant 10 mesures minimales : analyse des risques, gestion incidents, continuite d'activite, securite chaine d'approvisionnement, securite acquisition et developpement, evaluation efficacite des mesures, hygiene cyber et formation, cryptographie, securite RH et acces, MFA.
  • Mettre en place un dispositif de notification d'incident a l'ILR sous 24 heures pour l'alerte initiale, 72 heures pour le rapport intermediaire, 1 mois pour le rapport final.
  • Faire valider par l'organe de direction (conseil d'administration ou direction generale) la politique cyber. Les dirigeants doivent suivre une formation cyber.
  • Auditer la chaine d'approvisionnement TIC et inserer des clauses NIS 2 dans les contrats avec les prestataires critiques.

Sanctions en cas de manquement

La loi de transposition reprend les plafonds prevus par la directive. Pour les entites essentielles : amende administrative jusqu'a 10 millions d'euros ou 2 % du chiffre d'affaires annuel mondial, le plus eleve. Pour les entites importantes : jusqu'a 7 millions d'euros ou 1,4 % du CA mondial.

S'y ajoutent des mesures correctrices a effet immediat (injonctions, suspension temporaire de certification, voire d'activite) et la responsabilite personnelle des dirigeants (sanctions individuelles, interdiction temporaire d'exercer une fonction de direction dans le secteur concerne).

Comment Luxgap accompagne

Le delai de 8 semaines est court pour des organisations qui demarrent. Notre approche CISO externe couvre la sequence complete : nomination d'un responsable cyber declare a l'ILR, redaction de la politique de gestion des risques, mise en place du dispositif d'alerte 24h, audit supply chain, formation conseil d'administration.

Pour les entites du secteur financier (banques, PSF, fonds, assurances), les obligations NIS 2 se cumulent avec celles de DORA (entree en application le 17 janvier 2025). La CSSF coordonne avec l'ILR sur cette double regulation. Notre mandat CISO Luxembourg traite les deux cadres dans un seul programme.

Liens utiles

nis-2 luxembourg ilr transposition auto-enregistrement ciso
NEWSLETTER LUXGAP

Recevez nos analyses des qu'elles sortent.

Articles d'expertise RGPD, NIS 2, IA, et invitations aux webinaires + formations gratuites Luxgap. 1 a 2 emails par semaine maximum, desabonnement en un clic.

Vos donnees ne sont jamais partagees. Conformite RGPD garantie (logique : on est DPO).

Une question sur ce sujet ?

Notre équipe répond généralement sous 24 h ouvrées. Configurez votre devis ou écrivez-nous.

Configurer mon devis →