Rapport sur l’état de la cybersécurité dans l’Union

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

1. L’ENISA adopte, en coopération avec la Commission et le groupe de coopération, un rapport bisannuel sur l’état de la cybersécurité dans l’Union et le soumet et le présente au Parlement européen. Le rapport est notamment mis à disposition dans un format lisible par machine et comporte les éléments suivants:

a)	une évaluation des risques en matière de cybersécurité à l’échelle de l’Union, qui tient compte du panorama des cybermenaces;

b)	une évaluation du développement des capacités de cybersécurité dans les secteurs public et privé dans l’ensemble de l’Union;

c)	une évaluation du degré général de sensibilisation à la cybersécurité et de cyberhygiène des citoyens et des entités, y compris les petites et moyennes entreprises;

d)	une évaluation agrégée du résultat des évaluations par les pairs visées à l’article 19;

e)	une évaluation agrégée du niveau de maturité des capacités de cybersécurité et des ressources en la matière dans l’ensemble de l’Union, notamment au niveau sectoriel, ainsi que du degré d’harmonisation des stratégies nationales en matière de cybersécurité des États membres.

2. Le rapport comprend des recommandations politiques spécifiques visant à remédier aux lacunes et à accroître le niveau de cybersécurité dans l’Union, ainsi qu’un résumé des conclusions pour la période concernée des rapports de situation technique en matière de cybersécurité de l’Union européenne sur les incidents et cybermenaces, élaborés par l’ENISA conformément à l’article 7, paragraphe 6, du règlement (UE) 2019/881.

3. L’ENISA, en coopération avec la Commission, le groupe de coopération et le réseau des CSIRT, élabore la méthodologie, y compris les variables pertinentes, telles que les indicateurs quantitatifs et qualitatifs, de l’évaluation agrégée visée au paragraphe 1, point e).

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, c'est l'ILR qui exploite operationnellement le rapport ENISA lors de ses inspections au titre de la loi du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025). Le GOVCERT.LU et le CIRCL relaient en complement les advisories nationaux qui declinent le panorama ENISA au contexte luxembourgeois : ces bulletins sont opposables des leur publication et l'ILR considéré que toute entité essentielle ou importante doit les avoir intégrés dans son analyse de risque article 21 dans un délai raisonnable.

Pratique Luxgap : connectez en continu les flux ENISA, GOVCERT.LU et CIRCL a votre registre de risques pour que chaque advisory genere automatiquement un ticket de revue de contrôle, horodate et opposable lors d'un contrôle ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 18 n'impose pas directement d'obligation aux entités essentielles ou importantes : il organise le rapport bisannuel de l'ENISA sur l'etat de la cybersecurite dans l'Union. Le piège, c'est de croire que ce rapport ne vous concerne pas. En realite, l'ILR et la Commission européenne s'en servent comme grille de lecture pour leurs inspections : les indicateurs de maturite, le niveau de cyberhygiene attendu et les recommandations politiques deviennent le benchmark implicite contre lequel votre posture est jugee. Une entité qui ignore les conclusions du dernier rapport ENISA se retrouve a defendre sa conformité avec un référentiel obsolete face a un régulateur qui, lui, a deja intégré les nouvelles attentes.

Pourquoi le rapport ENISA est un signal opérationnel, pas un document de veille

Le rapport bisannuel definit le panorama des cybermenaces que l'ILR considéré comme connu et donc opposable : ignorer une menace majeure documentee par l'ENISA equivaut a une négligence caracterisee article 21.
L'évaluation agregee de la maturite sectorielle (point 1.e) fixe les attentes minimales par secteur : sante, finance, energie, infrastructure numerique. Si votre secteur progresse, le seuil de l'etat de l'art monte mecaniquement.
Les recommandations politiques du paragraphe 2 prefigurent les actes d'execution Commission et les guides ILR a venir : 12 a 18 mois d'avance sur la réglementation effective.
Le resume des EU Cybersecurity Technical Situation Reports (article 7(6) du règlement 2019/881) liste les TTPs (techniques, tactiques, procédures) que vos mesures techniques article 21 doivent couvrir.
Les évaluations par les pairs (article 19) revelent les ecarts entre Etats membres : l'ILR ajuste sa severite en fonction du classement luxembourgeois.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Landscape Sync transforme les rapports ENISA, les bulletins du CSIRT national luxembourgeois et les EU Cybersecurity Technical Situation Reports en obligations actionnables sur votre stack reelle. L'outil ingere en continu les publications ENISA (rapport bisannuel, threat landscape annuel, advisories), les correle avec votre cartographie d'actifs Microsoft Defender, CrowdStrike, Wazuh ou Azure Sentinel, et vous dit precisement quelles menaces nouvelles ne sont pas couvertes par vos contrôles actuels.

Scanne chaque nouvelle publication ENISA et extrait automatiquement les TTPs, IOCs et recommandations sectorielles applicables a votre secteur d'activité.
Correle les menaces identifiées avec votre inventaire d'actifs et votre matrice de contrôles ISO 27001 pour produire un gap analysis en temps reel.
Alerte sur Teams ou Slack des qu'une menace majeure documentee par l'ENISA n'est pas couverte par un contrôle existant dans votre référentiel.
Genere un dossier de défense horodate, opposable a l'ILR lors d'un contrôle, qui démontré que vous suivez activement le state of the art defini par l'ENISA.
Compare votre niveau de maturite a la moyenne sectorielle luxembourgeoise et européenne publiee dans le rapport bisannuel, et propose une feuille de route pour combler les ecarts.
Prepare automatiquement la section veille réglementaire et menaces de votre rapport annuel au conseil d'administration exige par l'article 20.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre stack reelle, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre vos contrôles actuels et le dernier rapport ENISA avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Rapport sur l’état de la cybersécurité dans l’Union

Ils nous font confiance

Avant de discuter