Objet

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Objet

1. La présente directive établit des mesures qui ont pour but d’obtenir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union, afin d’améliorer le fonctionnement du marché intérieur.

2. À cette fin, la présente directive fixe:

des obligations qui imposent aux États membres d’adopter des stratégies nationales en matière de cybersécurité, de désigner ou de mettre en place des autorités compétentes, des autorités chargées de la gestion des cybercrises, des points de contact uniques en matière de cybersécurité (ci-après dénommés «points de contact uniques») et des centres de réponse aux incidents de sécurité informatique (CSIRT);

b)	des mesures de gestion des risques en matière de cybersécurité et des obligations d’information pour les entités d’un type visé à l’annexe I ou II, ainsi que pour les entités recensées en tant qu’entités critiques en vertu de la directive (UE) 2022/2557;

c)	des règles et des obligations pour le partage d’informations en matière de cybersécurité;

d)	les obligations des États membres en matière de supervision et d’exécution.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la directive NIS 2 est transposee par la loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025. L'Institut Luxembourgeois de Régulation (ILR) est l'autorité nationale competente : c'est lui qui désigné nominativement les operateurs essentiels et importants, recoit les notifications d'incident (via la plateforme MISP-LU ou son portail dedie), mene les inspections et inflige les sanctions administratives (jusqu'a 10 M EUR ou 2% du CA mondial pour les entités essentielles, 7 M EUR ou 1,4% pour les entités importantes). Le GOVCERT.LU agit comme CSIRT national pour le secteur public et le CIRCL pour le secteur privé.

Pratique Luxgap : verifiez trimestriellement la liste publique des operateurs désignés par l'ILR et conservez une trace ecrite de votre analyse de non-designation, signee par la direction, datee et archivee. C'est la premiere piece exigee lors d'un contrôle ILR si votre statut est conteste.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 1 a l'air anodin (il pose juste l'objet de la directive), mais c'est lui qui fixe le perimetre de tout le reste : annexes I et II, entités critiques au sens de la directive (UE) 2022/2557 (CER), et obligations en cascade. Le piège classique sanctionné par l'ILR et les CSIRT nationaux : des organisations qui se croient hors scope parce qu'elles ne se reconnaissent pas dans la liste des secteurs, alors qu'elles y entrent par effet de chaîne (filiale d'un groupe energie, sous-traitant critique d'un hopital, fournisseur cloud d'une administration). Résultat : aucune strategie cyber, aucun point de contact declare a l'ILR, et decouverte du scope au moment du premier incident.

Le test de scope en 4 questions concretes

Secteur annexe I ou II ? Energie, transport, banque, sante, eau, infrastructure numerique (DNS, cloud, datacenter, CDN), administration publique, services postaux, fabrication de dispositifs medicaux, alimentation, chimie, recherché, fournisseurs numeriques (marketplaces, moteurs de recherché, réseaux sociaux).
Taille : au moins 50 employés OU 10 M EUR de CA annuel (seuil moyenne entreprise au sens recommandation 2003/361/CE). En-dessous, possible inclusion forcee par l'ILR si l'entité est jugee critique.
Désignation explicite par l'ILR comme entité essentielle (EE) ou importante (EI) ? Le silence ne vaut pas hors scope : c'est l'auto-identification qui prime.
Qualifié d'entité critique au titre de la directive CER (UE) 2022/2557 ? Si oui, automatiquement entité essentielle NIS 2.

Le piège secondaire : même une entité hors annexes peut se retrouver dans le scope via la supply chain (article 21(2)(d)). Vos clients NIS 2 vont vous imposer contractuellement les mêmes obligations, sans que vous soyez directement désigné.

Comment Luxgap automatise ce risque

Notre Luxgap NIS2 Scope Radar repond a la seule question qui compte avant tout projet de mise en conformité : etes-vous concerne, a quel titre, et avec quel niveau d'obligation ? L'outil croise votre code NACE, votre RCS Luxembourg, vos effectifs declares au CCSS, votre chiffre d'affaires depose au RCSL, votre cartographie applicative (M365, Azure, AWS, Odoo, Salesforce) et la liste publique des operateurs désignés par l'ILR pour produire un verdict opposable en moins de 48h.

Determine automatiquement votre qualification (entité essentielle, entité importante, hors scope, scope indirect via supply chain) en croisant code NACE, effectif CCSS et CA RCSL.
Detecte les rattachements caches : filiale d'un groupe entité essentielle, sous-traitant critique d'un hopital luxembourgeois, fournisseur cloud d'une commune ou d'un ministere.
Vérifié en temps reel si votre raison sociale figure sur la liste des operateurs désignés publiee par l'ILR et alerte des qu'une nouvelle désignation vous concerne.
Cartographie vos clients NIS 2 a partir de votre CRM et anticipe les clauses cyber qu'ils vont vous imposer dans les 12 prochains mois au titre de l'article 21(2)(d).
Produit un rapport PDF horodate, signe cryptographiquement, qui materialise votre analyse de scope et constitue la premiere piece du dossier de conformité opposable a l'ILR en cas de contrôle.
Re-evalue automatiquement votre statut chaque trimestre, des qu'un seuil d'effectif, de CA ou d'activité change.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une analyse de scope sur votre perimetre reel, avec un audit blanc gratuit sous 48h pour materialiser votre exposition NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Objet

Ils nous font confiance

Avant de discuter