Le piège classique
Le considérant 55 trace une frontière subtile que les exploitants d'infrastructures critiques sous-estiment : un système d'IA n'a pas besoin d'être nécessaire au fonctionnement pour basculer en haut risque, il suffit qu'il protégé l'intégrité physique ou la santé. Résultat, des modules d'IA considérés comme accessoires (surveillance de pression, détection incendie en datacenter, IA d'aide a la décision pour le trafic routier) tombent en annexe III même si l'operateur les a classes comme outils d'optimisation. A l'inverse, un module IA purement cyber (EDR, SIEM augmente) n'est PAS un composant de sécurité au sens du AI Act, même s'il protégé l'infrastructure. La CNPD reste competente pour le volet données personnelles, et l'EU AI Office supervisera la coherence d'interprétation au niveau UE.
Le test de qualification 'composant de sécurité' en 4 questions
- Le système protege-t-il directement l'intégrité physique de l'infrastructure ou la santé des personnes ? Si oui, candidat haut risque.
- Est-il nécessaire au fonctionnement opérationnel de l'infrastructure ? Si oui, ce n'est PAS un composant de sécurité au sens du considérant 55 (mais peut relever d'une autre catégorie).
- Son unique finalité est-elle la cybersécurité ? Si oui, exclusion explicite, hors annexe III point 2.
- L'infrastructure est-elle listee a l'annexe de la directive (UE) 2022/2557 ou couvre-t-elle eau / gaz / electricite / chauffage / trafic routier ? Si oui, périmètre confirme.
Le piège opérationnel : un même produit peut contenir plusieurs briques IA dont certaines sont haut risque et d'autres non. La cartographie doit être faite par composant, pas par produit global. Les exploitants luxembourgeois concernes (POST, Creos, SUDenergie, Encevo, LuxConnect, EBRC, administrations de la voirie) doivent documenter cette qualification avant la date d'application des obligations haut risque (aout 2026).
Comment Luxgap automatise ce risque
Notre Luxgap Critical Infrastructure AI Classifier ferme definitivement la question de la qualification haut risque pour les operateurs d'infrastructures critiques luxembourgeois. L'outil scanne automatiquement votre parc applicatif (SCADA, GMAO, supervision Schneider EcoStruxure, Siemens MindSphere, AVEVA System Platform, Azure IoT Hub) et detecte chaque brique IA ou modèle ML embarque, puis applique le test de qualification du considérant 55 brique par brique avec une tracabilite opposable.
- Inventorie automatiquement les composants IA presents dans vos systèmes industriels via connecteurs natifs OPC-UA, Modbus TCP et API des principaux editeurs SCADA et GMAO.
- Classifie chaque composant selon la grille du considérant 55 (composant de sécurité vs opérationnel vs cybersécurité pur) avec justification redigee et citation du texte UE.
- Genere la matrice de conformité par composant avec les obligations applicables (gestion des risques article 9, données article 10, documentation technique article 11, journalisation article 12, transparence article 13, surveillance humaine article 14, robustesse article 15).
- Detecte les ecarts entre la qualification declaree par votre fournisseur d'IA et la qualification reelle au regard de l'usage concret dans votre infrastructure.
- Alerte en temps reel des qu'une mise à jour logicielle introduit une nouvelle brique IA non classifiee dans votre périmètre supervision.
- Produit un dossier de qualification PDF horodate et signe cryptographiquement, opposable a l'EU AI Office et a l'autorité de surveillance du marché IA luxembourgeoise lors d'un contrôle.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre industriel. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre parc reel, avec un audit blanc gratuit sous 48h pour cartographier vos composants IA critiques avant tout engagement.
