Gouvernance

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Gouvernance

1. Les États membres veillent à ce que les organes de direction des entités essentielles et importantes approuvent les mesures de gestion des risques en matière de cybersécurité prises par ces entités afin de se conformer à l’article 21, supervisent sa mise en œuvre et puissent être tenus responsables de la violation dudit article par ces entités.

L’application du présent paragraphe est sans préjudice du droit national en ce qui concerne les règles en matière de responsabilité applicables aux institutions publiques, ainsi que de responsabilité des agents de la fonction publique et des responsables élus ou nommés.

2. Les États membres veillent à ce que les membres des organes de direction des entités essentielles et importantes soient tenus de suivre une formation et ils encouragent les entités essentielles et importantes à offrir régulièrement une formation similaire aux membres de leur personnel afin que ceux-ci acquièrent des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les pratiques de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025

Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui supervise l'application de l'article 20 et qui peut, en cas de manquement caractérisé d'une entité essentielle, prononcer une interdiction temporaire d'exercer des fonctions de direction à l'encontre du dirigeant fautif (article 32 NIS 2 transposé). La loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025, précise que l'approbation des mesures par l'organe de direction doit être documentée et que la formation des dirigeants doit être récurrente, sans fixer de périodicité minimale (interprétation ILR : au moins annuelle).

Pratique Luxgap : pour les entités luxembourgeoises sous double régime NIS 2 et CSSF (banques, PSF, fintechs), nous fusionnons la gouvernance article 20 avec celle de DORA article 5 dans un seul comité cyber trimestriel, pour éviter la duplication des supports et des PV.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 20 fait basculer la cybersécurité du DSI vers le conseil d'administration. Les dirigeants doivent approuver les mesures de l'article 21, superviser leur mise en œuvre et peuvent être tenus personnellement responsables en cas de manquement. L'ILR, lors de ses inspections, demande systématiquement les PV de conseil approuvant la politique cybersécurité et les preuves de formation des administrateurs : une absence de trace écrite suffit à caractériser le manquement, indépendamment de la qualité technique du dispositif.

Les 5 pièges qui font tomber les comités de direction

L'approbation tacite : le CISO présente sa politique mais aucun PV ne mentionné une approbation formelle du conseil. Pour l'ILR, ça n'existe pas.
La formation alibi : un webinaire d'une heure une fois par an, sans évaluation, sans traçabilité, sans contenu adapté au profil dirigeant. Insuffisant pour démontrer la compétence requise.
La délégation totale au DSI : le conseil ignore les risques résiduels acceptés en son nom. En cas d'incident, la responsabilité personnelle reste pleine et entière.
L'absence de revue périodique : approuver une fois ne suffit pas. La supervision implique un suivi régulier des KPI cybersécurité au niveau conseil.
Le mélange des rôles : pour les administrateurs publics et élus, le droit national luxembourgeois conserve ses propres règles de responsabilité, mais l'obligation de formation reste intégrale.

Comment Luxgap automatise ce risque

Notre Luxgap Boardroom Cyber Cockpit transforme l'obligation de gouvernance article 20 en preuve opposable, traçable et défendable devant l'ILR. L'outil se connecte à votre Microsoft Defender, Azure Sentinel, CrowdStrike, votre GRC et votre agenda M365 pour générer automatiquement les supports de conseil, capter les décisions d'approbation et sceller cryptographiquement chaque PV cybersécurité présenté aux administrateurs.

Génère automatiquement un dossier de conseil trimestriel synthétique (8 pages maximum) avec score de posture, top 5 risques résiduels, incidents notifiés à l'ILR et indicateurs article 21, calibré pour un lecteur non technique.
Capture la décision d'approbation via un module de vote électronique horodaté et signé par chaque administrateur, produisant un PV opposable scellé en blockchain notariale.
Délivre un parcours de formation cybersécurité dédié aux organes de direction, aligné sur le référentiel ENISA Executive Cybersecurity, avec quizz d'évaluation et attestation nominative téléchargeable.
Alerte le président du conseil lorsqu'un administrateur n'a pas validé sa formation annuelle ou n'a pas pris connaissance d'un incident majeur dans les 7 jours.
Détecte les écarts entre les mesures approuvées en conseil et leur mise en œuvre opérationnelle réelle dans le SI, et signale au comité d'audit toute dérive non documentée.
Produit sur demande un dossier de défense complet, opposable à l'ILR, démontrant l'approbation, la supervision continue et la formation effective des organes de direction.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre comitologie réelle, avec un audit blanc gratuit sous 48h pour mesurer la maturité de votre gouvernance cyber avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Gouvernance

Ils nous font confiance

Avant de discuter