Le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe)

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

1. EU-CyCLONe est institué afin de contribuer à la gestion coordonnée, au niveau opérationnel, des incidents de cybersécurité majeurs et des crises, et de garantir l’échange régulier d’informations pertinentes entre les États membres et les institutions, organes et organismes de l’Union.

2. EU-CyCLONe est composé des représentants des autorités des États membres chargées de la gestion des crises de cybersécurité, ainsi que de la Commission lorsqu’un incident de cybersécurité majeur, potentiel ou en cours, a ou est susceptible d’avoir un impact important sur les services et les activités relevant du champ d’application de la présente directive. Dans les autres situations, la Commission participe aux activités d’EU-CyCLONe en qualité d’observateur.

L’ENISA assure le secrétariat d’EU-CyCLONe et soutient l’échange sécurisé d’informations, et fournit également les outils nécessaires pour soutenir la coopération entre États membres en garantissant un échange sécurisé d’informations.

Si besoin est, EU-CyCLONe peut inviter des représentants des acteurs concernés à participer à ses travaux en qualité d’observateurs.

3. EU-CyCLONe a pour tâches:

a)	de renforcer le niveau de préparation à la gestion des incidents de cybersécurité majeurs et des crises;

b)	de développer une connaissance situationnelle partagée des incidents de cybersécurité majeurs et des crises;

c)	d’évaluer les conséquences et l’impact des incidents de cybersécurité majeurs et des crises en question et de proposer d’éventuelles mesures d’atténuation;

d)	de coordonner la gestion des incidents de cybersécurité majeurs et des crises et de soutenir la prise de décision au niveau politique en ce qui concerne ces incidents et ces crises;

e)	d’examiner, à la demande de l’État membre concerné, le plan national de réaction aux crises et aux incidents de cybersécurité majeurs visé à l’article 9, paragraphe 4.

4. EU-CyCLONe adopte son règlement intérieur.

5. EU-CyCLONe rend régulièrement compte au groupe de coopération de la gestion des incidents de cybersécurité majeurs et des crises, ainsi que des tendances, en mettant notamment l’accent sur leur impact sur les entités essentielles et importantes.

6. EU-CyCLONe coopère avec le réseau des CSIRT sur la base des modalités procédurales convenues conformément à l’article 15, paragraphe 6.

7. Au plus tard le 17 juillet 2024 et tous les 18 mois par la suite, EU-CyCLONe soumet au Parlement européen et au Conseil un rapport évaluant ses travaux.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité nationale désignée pour la coordination de crise cyber et participe directement aux travaux d'EU-CyCLONe aux cotes du HCPN (Haut-Commissariat a la Protection nationale) qui pilote la gestion de crise interministerielle. La loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025, impose aux operateurs essentiels désignés par l'ILR de disposer d'un point de contact crise joignable 24/7 et d'une capacite d'escalade vers GOVCERT.LU et CIRCL dans les délais alignes sur EU-CyCLONe.

Pratique Luxgap : nous testons trimestriellement la chaîne d'escalade reelle entre votre cellule de crise, l'ILR, le HCPN, GOVCERT.LU et CIRCL, avec un rapport d'aptitude opérationnelle horodate opposable lors d'une inspection ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 16 institue EU-CyCLONe, le réseau européen de gestion des crises cyber majeures. Beaucoup d'entités essentielles et importantes considèrent qu'il s'agit d'un dispositif inter-etatique qui ne les concerne pas directement. C'est une lecture dangereuse : quand EU-CyCLONe active une crise, l'ILR au Luxembourg remonte la chaîne et exige des operateurs essentiels une connaissance situationnelle quasi temps reel, des canaux de communication chiffres avec l'autorité, et la capacite de fournir une évaluation d'impact en quelques heures. Les organisations sanctionnées lors des inspections sont celles qui decouvrent EU-CyCLONe le jour ou il s'active.

Ce que EU-CyCLONe exige indirectement de vos équipes

Un point de contact crise unique, joignable 24/7, avec un suppleant et un canal chiffre vers l'ILR (et non un simple email generique).
Une capacite d'évaluation d'impact rapide : qui est touche, quels services degrades, quelle propagation possible vers d'autres entités essentielles luxembourgeoises.
Un plan national de reaction (article 9.4) auquel votre organisation doit pouvoir se brancher operationnellement, pas seulement le citer dans une politique.
Une participation aux exercices de crise organises par l'ENISA et l'ILR (Cyber Europe, exercices sectoriels), avec preuve de participation documentee.
Une coherence entre votre plan de continuite interne et la shared situational awareness attendue au niveau UE : taxonomies d'incidents, niveaux d'escalade, formats de reporting alignes avec ENISA.

Le piège spécifique : la connaissance situationnelle partagée

Le point (b) du paragraphe 3 est le piège oublie. EU-CyCLONe fonctionne sur une connaissance situationnelle partagée : votre incident isole n'a de sens que correle aux autres incidents européens. Si votre rapport d'incident n'utilise pas la taxonomie ENISA, n'indique pas les IOC dans un format machine-readable (STIX/TAXII), et n'est pas transmis dans les fenetres temporelles de l'article 23, vous bloquez la chaîne de coordination. L'ILR sanctionné le defaut de qualite des notifications autant que leur absence.

Comment Luxgap automatise ce risque

Notre Luxgap Crisis Liaison Bridge connecte votre SOC et votre cellule de crise directement aux canaux opérationnels EU-CyCLONe et au réseau CSIRT luxembourgeois (CIRCL, GOVCERT.LU). L'outil ingere en temps reel les alertes de Microsoft Defender, Sentinel, CrowdStrike, Wazuh et vos SIEM internes, les traduit automatiquement en taxonomie ENISA, et produit un dossier d'incident pret a remonter a l'ILR au format machine-readable attendu par EU-CyCLONe.

Detecte automatiquement qu'un incident depasse les seuils large-scale definis par EU-CyCLONe (propagation transfrontalière, criticite des services, nombre d'utilisateurs impactes) et déclenche l'escalade.
Genere en moins de 30 minutes le dossier de situational awareness attendu par l'ILR : perimetre, IOC au format STIX 2.1, chronologie, impact estime sur les services essentiels.
Maintient un annuaire chiffre et teste mensuellement des points de contact crise (interne, ILR, CSIRT sectoriel) avec vérification de joignabilite automatisee.
Simule des exercices de crise EU-CyCLONe trimestriels sur vos données reelles et produit un rapport d'aptitude opérationnelle horodate, opposable lors d'une inspection ILR.
Aligne votre plan de continuite interne avec le plan national luxembourgeois article 9.4 et alerte des qu'une mise a jour du plan national impose une revision de vos procédures.
Produit un rapport PDF horodate et cryptographiquement scelle apres chaque incident, demontrant le respect des délais et de la qualite de notification exiges par les articles 16 et 23.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre perimetre reel, avec un exercice de crise blanc gratuit sous 48h pour mesurer votre aptitude opérationnelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Le réseau européen pour la préparation et la gestion des crises cyber (EU-CyCLONe)

Ils nous font confiance

Avant de discuter