NIS 2, la directive européenne cybersécurité 2022/2555.
NIS 2 (directive UE 2022/2555) remplace la directive NIS de 2016 et élargit considérablement le périmètre des organisations soumises à des obligations cyber. Au Luxembourg, elle est transposée par la loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025. Elle est applicable depuis le 17 octobre 2024. Concrètement, ça change quoi pour vous ?
Qui est concerné ?
NIS 2 distingue deux catégories : les entités essentielles (EE) et les entités importantes (EI), selon le secteur et la taille.
- Secteurs hautement critiques (entités essentielles si moyennes/grandes, importantes sinon) : énergie, transport, banque, infrastructure de marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion ICT B2B, secteur public, espace.
- Secteurs critiques (entités importantes) : services postaux et de courrier, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution alimentaires, fabrication (dispositifs médicaux, informatique, électronique, machines, véhicules, transport), fournisseurs numériques, recherche.
- Seuils : moyennes (50+ salariés ou 10+ M€ CA) et grandes (250+ salariés ou 50+ M€ CA). Certaines entités sont incluses sans seuil (DNS, registres TLD, fournisseurs de confiance qualifiés).
Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité nationale de cybersécurité, recense les opérateurs essentiels et importants, reçoit les notifications d'incident, mène les inspections et inflige les sanctions administratives prévues par la loi du 28 juillet 2023.
Obligations clés
- Mesures techniques et organisationnelles (article 21) : politique de sécurité, gestion des risques, gestion d'incidents, continuité d'activité (BCP), sécurité de la chaîne d'approvisionnement, sécurité des acquisitions et développements, évaluation de l'efficacité, formation cyber, cryptographie, gestion des identités, communications sécurisées.
- Notification d'incidents (article 23) : alerte précoce sous 24 h, notification d'incident sous 72 h, rapport final sous 1 mois.
- Gouvernance et responsabilité des dirigeants (article 20) : la direction approuve les mesures, supervise leur mise en œuvre, et est personnellement responsable en cas de manquement avéré.
- Enregistrement auprès de l'ILR : déclaration de l'entité et tenue à jour des informations.
Échéances
La loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité transpose NIS 2 et est applicable depuis le 17 octobre 2024. Elle a été modifiée par la loi du 28 juillet 2025 pour aligner les seuils, préciser les sanctions et clarifier la chaîne de responsabilité des dirigeants. Toutes les entités concernées doivent déjà être en conformité. Les contrôles ILR ont commencé en 2025.
Sanctions en cas de non-conformité
Sanctions administratives : jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial pour les entités essentielles ; 7 millions d'euros ou 1,4 % pour les entités importantes.
Surtout, la directive prévoit la responsabilité personnelle des dirigeants : suspension temporaire d'exercice, interdiction d'occuper des fonctions de direction. C'est nouveau et structurant.
Comment Luxgap vous aide
Notre mandat CISO externalisé couvre l'intégralité des exigences NIS 2 : politique de sécurité, gestion des risques, gestion d'incidents (avec respect des délais 24 h / 72 h / 1 mois), gouvernance, sensibilisation des dirigeants. Nous prenons en charge également l'enregistrement auprès de l'ILR.
Pour les organisations qui ne sont pas certaines d'être concernées, nous réalisons un diagnostic d'éligibilité NIS 2 sous 5 jours ouvrés.
Mettons votre conformité NIS 2 en place.
Configurez votre devis pour un mandat CISO ou un audit NIS 2 ciblé. Réponse sous 24 h ouvrées.
Configurer mon devis →
