← Toutes les lois

Conformité · Cybersécurité

NIS 2, la directive européenne cybersécurité 2022/2555.

NIS 2 (directive UE 2022/2555) remplace la directive NIS de 2016 et élargit considérablement le périmètre des organisations soumises à des obligations cyber. Transposée au Luxembourg en 2024, elle est applicable depuis le 17 octobre 2024. Concrètement, ça change quoi pour vous ?

Configurer mon devis → Nous contacter

Qui est concerné ?

NIS 2 distingue deux catégories : les entités essentielles (EE) et les entités importantes (EI), selon le secteur et la taille.

  • Secteurs hautement critiques (entités essentielles si moyennes/grandes, importantes sinon) : énergie, transport, banque, infrastructure de marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion ICT B2B, secteur public, espace.
  • Secteurs critiques (entités importantes) : services postaux et de courrier, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution alimentaires, fabrication (dispositifs médicaux, informatique, électronique, machines, véhicules, transport), fournisseurs numériques, recherche.
  • Seuils : moyennes (50+ salariés ou 10+ M€ CA) et grandes (250+ salariés ou 50+ M€ CA). Certaines entités sont incluses sans seuil (DNS, registres TLD, fournisseurs de confiance qualifiés).

Le Luxembourg a désigné l'ILR (Institut Luxembourgeois de Régulation) et l'ANSSI Lux comme autorités de contrôle.

Obligations clés

  • Mesures techniques et organisationnelles (article 21) : politique de sécurité, gestion des risques, gestion d'incidents, continuité d'activité (BCP), sécurité de la chaîne d'approvisionnement, sécurité des acquisitions et développements, évaluation de l'efficacité, formation cyber, cryptographie, gestion des identités, communications sécurisées.
  • Notification d'incidents (article 23) : alerte précoce sous 24 h, notification d'incident sous 72 h, rapport final sous 1 mois.
  • Gouvernance et responsabilité des dirigeants (article 20) : la direction approuve les mesures, supervise leur mise en œuvre, et est personnellement responsable en cas de manquement avéré.
  • Enregistrement auprès de l'ILR : déclaration de l'entité et tenue à jour des informations.

Échéances

La loi luxembourgeoise transposant NIS 2 est entrée en vigueur le 17 octobre 2024. Toutes les entités concernées doivent déjà être en conformité. Les contrôles ont commencé en 2025.

Sanctions en cas de non-conformité

Sanctions administratives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; 7 millions d'euros ou 1,4 % pour les entités importantes.

Surtout, la directive prévoit la responsabilité personnelle des dirigeants : suspension temporaire d'exercice, interdiction d'occuper des fonctions de direction. C'est nouveau et structurant.

Comment Luxgap vous aide

Notre mandat CISO externalisé couvre l'intégralité des exigences NIS 2 : politique de sécurité, gestion des risques, gestion d'incidents (avec respect des délais 24 h / 72 h / 1 mois), gouvernance, sensibilisation des dirigeants. Nous prenons en charge également l'enregistrement auprès de l'ILR.

Pour les organisations qui ne sont pas certaines d'être concernées, nous réalisons un diagnostic d'éligibilité NIS 2 sous 5 jours ouvrés.

Mettons votre conformité NIS 2 en place.

Configurez votre devis pour un mandat CISO ou un audit NIS 2 ciblé. Réponse sous 24 h ouvrées.

Configurer mon devis →