Le piège classique
L'article 1 a l'air anodin, mais c'est lui qui déclenche tout le reste : il pose le principe que NIS 2 cree des obligations directes pour les entités des annexes I et II. Le piège que l'ILR observe en pre-controle, c'est l'entité qui se croit hors-scope parce qu'elle n'est pas explicitement nommee, alors qu'elle relevait deja de la directive (UE) 2022/2557 sur les entités critiques. Résultat : aucune strategie cyber, aucun CSIRT declare comme point de contact, aucun registre de mesures, et une notification d'enregistrement aupres de l'ILR jamais effectuée dans les délais.
Le test d'applicabilite : ne pas se tromper de directive
L'article 1(2) articule quatre blocs d'obligations qui se cumulent et s'enchainent. Avant même de parler de mesures techniques (article 21) ou de notification d'incident (article 23), il faut avoir tranche trois questions, dans l'ordre :
- Suis-je dans l'annexe I (secteurs hautement critiques) ou II (secteurs critiques) ? Energie, transport, banque, sante, eau, infrastructure numerique, fournisseurs de services TIC geres, administration publique, espace pour l'annexe I ; services postaux, gestion des dechets, chimie, alimentation, fabrication, prestataires numeriques, recherché pour l'annexe II.
- Suis-je entité essentielle ou importante ? Le critère de taille (250 salariés / 50 M EUR de CA pour essentielle, 50 salariés / 10 M EUR pour importante) se combine au critère sectoriel, avec des exceptions (DNS, TLD, qualified trust providers : essentiel quelle que soit la taille).
- Suis-je deja entité critique au titre de la directive CER (UE) 2022/2557 ? Si oui, NIS 2 s'applique automatiquement en plus, sans test de taille.
- Mon point de contact unique national est-il l'ILR ? Au Luxembourg : oui pour la majorite, mais le secteur financier renvoie a la CSSF via DORA et certains operateurs essentiels ont un CSIRT sectoriel (GOVCERT, CIRCL, CSIRT privé).
- Mon entité est-elle enregistrée dans le registre national des entités NIS 2 tenu par l'ILR ? Obligation déclarative avec délai strict, sanctionnable independamment des mesures techniques.
Le piège de fond : se croire hors champ parce que l'entité est petite, alors qu'un client critique ou un contrat public la fait basculer en entité importante via la chaîne d'approvisionnement (article 21(2)(d)).
Comment Luxgap automatise ce risque
Notre Luxgap Scope Radar NIS2 repond en 90 secondes a la seule question qui compte : etes-vous dans le scope, et a quel titre ? L'outil ne vous demande PAS de remplir un questionnaire de 40 pages : il interroge en mode pull votre registre de commerce (RCSL), votre matricule TVA, votre code NACE, vos comptes annuels deposes au RCS, et croise avec les annexes I et II officielles plus la liste CER luxembourgeoise pour produire un verdict opposable.
- Module NACE Mapper : recupere automatiquement votre code NACE au RCSL et le mappe sur les sous-secteurs annexe I/II avec niveau de confiance.
- Module Size Threshold Engine : tire vos derniers comptes annuels deposes (effectif, CA, bilan) et applique le test des seuils essentiel/importante en temps reel, avec recalcul automatique a chaque depot.
- Module Supply Chain Pull-In : scanne vos contrats publics (avis Portail Marches Publics LU + TED européen) et detecte si un client essentiel vous fait basculer via l'article 21(2)(d).
- Module Registration Tracker : vérifié aupres du registre ILR si vous etes deja enregistré, et genere le dossier d'enregistrement pre-rempli si non.
- Module Verdict PDF : sortie = un rapport horodate cryptographiquement signe, opposable a l'ILR en cas de contrôle, qui justifie votre statut (in-scope essentiel / in-scope importante / hors scope) avec les références juridiques précisés.
- Module Annual Re-Scan : relance automatique annuelle, parce que franchir un seuil de taille ou prendre un client essentiel vous fait basculer sans preavis.
Disponible en SaaS (Starter : 1 entité juridique, Pro : jusqu'a 10 entités pour groupes, Enterprise : illimite + API), ou inclus dans le mandat DPO/CISO Luxgap. Lancez un scan gratuit en 48h et recevez votre verdict d'applicabilite NIS 2 signe avant toute autre démarche.
