Je dois mettre mon organisation luxembourgeoise en conformité à l'article 27 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 27 visé spécifiquement les fournisseurs de services numériques transfrontaliers (DNS, cloud, datacenter, CDN, MSP, MSSP, places de marché, moteurs de recherché, réseaux sociaux). Le piège : croire qu'on est hors scope parce qu'on est établi au Luxembourg avec quelques clients en Belgique et en France, alors qu'on doit s'enregistrer auprès de l'ILR avec la liste de TOUS les états membres ou l'on fournit des services, ses plages IP, et notifier toute modification dans les 3 mois. L'ILR sanctionné deux choses en pratique : l'absence d'enregistrement dans le délai du 17 janvier 2025, et les registres figes qui ne refletent plus la réalité opérationnelle (nouvelles plages IP AWS/Azure non declarees, nouveau représentant article 26 non mis à jour, expansion commerciale silencieuse vers de nouveaux états membres).Ce qui doit être tenu à jour en permanenceLe nom légal exact de l'entité et de ses établissements dans l'Union (toute création de filiale déclenche une mise à jour).La qualification sectorielle annexe I ou II (un MSP qui ajoute une offre MSSP change de sous-secteur).L'adresse de l'établissement principal et du représentant article 26(3) si l'entité n'est pas établie dans l'Union.Les coordonnees opérationnelles (email, téléphone) qui doivent rester joignables 24/7 pour les notifications d'incident.La liste des états membres ou des services sont fournis (un nouveau client en Italie = mise à jour).Les plages IP de l'entité, qui evoluent a chaque migration cloud, chaque nouveau bloc CIDR loue, chaque bascule de CDN.La difficulte reelle : ces informations vivent dans 6 systèmes differents (CRM commercial pour les pays servis, IPAM ou console cloud pour les plages IP, registre du commerce pour les établissements, annuaire RH pour les contacts), et personne ne les reconcilie avec le registre ILR.Comment Luxgap automatise ce risqueNotre Luxgap NIS2 Registry Sync transforme le déclaratif annuel en registre vivant synchronise automatiquement avec votre réalité opérationnelle. L'outil se connecte a vos consoles AWS, Azure, GCP, OVH, LuxConnect et eBRC pour extraire vos plages IP reelles, croise avec votre CRM (HubSpot, Salesforce, Odoo) pour détecter les nouveaux états membres servis, et surveille le registre de commerce luxembourgeois et européen pour capter toute création d'établissement.Scanne en continu vos comptes cloud et detecte chaque nouveau bloc CIDR, IP elastique ou range BGP attribue a votre entité, sans intervention manuelle.Identifié automatiquement les nouveaux états membres servis en analysant les adresses de facturation et de livraison dans votre CRM, et déclenche une alerte si un pays nouveau franchit un seuil matériel.Compare en temps reel votre déclaration ILR avec votre réalité opérationnelle et produit un diff visuel des ecarts a corriger.Genere automatiquement le dossier de mise à jour article 27(3) dans le format attendu par l'ILR, pret a soumettre via le mécanisme national de l'article 3(4).Alerte su...

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 27

Registre des entités

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Registre des entités

1. L’ENISA crée et tient, sur la base des informations reçues des points de contact uniques conformément au paragraphe 4, un registre des fournisseurs de services DNS, des registres des noms de domaine de premier niveau, des entités qui fournissent des services d’enregistrement de noms de domaine, des fournisseurs de services d’informatique en nuage, des fournisseurs de services de centres de données, des fournisseurs de réseaux de diffusion de contenu, des fournisseurs de services gérés, des fournisseurs de services de sécurité gérés, ainsi que des fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux. Sur demande, l’ENISA permet aux autorités compétentes d’accéder à ce registre, tout en veillant à ce que la confidentialité des informations soit protégée, s’il y a lieu.

2. Les États membres demandent aux entités visées au paragraphe 1 de soumettre les informations suivantes aux autorités compétentes au plus tard le 17 janvier 2025:

a)	le nom de l’entité;

b)	les secteur, sous-secteur et type d’entité concernés, visés à l’annexe I ou II, le cas échéant;

c)	l’adresse de l’établissement principal de l’entité et de ses autres établissements légaux dans l’Union ou, si elle n’est pas établie dans l’Union, de son représentant désigné conformément à l’article 26, paragraphe 3;

d)	les coordonnées actualisées, y compris les adresses de courrier électronique et les numéros de téléphone de l’entité et, le cas échéant, de son représentant désigné conformément à l’article 26, paragraphe 3;

e)	les États membres dans lesquels l’entité fournit des services; et

f)	les plages d’IP de l’entité.

3. Les États membres veillent à ce que les entités visées au paragraphe 1 notifient à l’autorité compétente toute modification des informations qu’elles ont communiquées en vertu du paragraphe 2 sans tarder et, en tout état de cause, dans un délai de trois mois à compter de la date de la modification.

4. À la réception des informations visées aux paragraphes 2 et 3, à l’exception des informations visées au paragraphe 2, point f), le point de contact unique de l’État membre concerné les transmet sans retard injustifié à l’ENISA.

5. S’il y a lieu, les informations visées aux paragraphes 2 et 3 du présent article sont communiquées via le mécanisme national visé à l’article 3, paragraphe 4, quatrième alinéa.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'autorité competente pour recevoir l'enregistrement article 27 et ses mises a jour est l'ILR (Institut Luxembourgeois de Régulation), désigné par la loi du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025). L'ILR a mis en place un guichet electronique dedie pour le depot initial et les notifications de modification dans le délai de 3 mois prevu a l'article 27(3). Le non-enregistrement ou un registre obsolete expose a des sanctions administratives pouvant aller jusqu'a 7 millions d'euros ou 1,4% du chiffre d'affaires mondial pour les entités importantes, et 10 millions d'euros ou 2% pour les entités essentielles.

Pratique Luxgap : nous parametrons l'export Luxgap NIS2 Registry Sync au format CSV attendu par le guichet ILR et synchronisons les notifications de modification avec le mécanisme national de l'article 3(4) sans intervention manuelle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 27 visé spécifiquement les fournisseurs de services numériques transfrontaliers (DNS, cloud, datacenter, CDN, MSP, MSSP, places de marché, moteurs de recherché, réseaux sociaux). Le piège : croire qu'on est hors scope parce qu'on est établi au Luxembourg avec quelques clients en Belgique et en France, alors qu'on doit s'enregistrer auprès de l'ILR avec la liste de TOUS les états membres ou l'on fournit des services, ses plages IP, et notifier toute modification dans les 3 mois. L'ILR sanctionné deux choses en pratique : l'absence d'enregistrement dans le délai du 17 janvier 2025, et les registres figes qui ne refletent plus la réalité opérationnelle (nouvelles plages IP AWS/Azure non declarees, nouveau représentant article 26 non mis à jour, expansion commerciale silencieuse vers de nouveaux états membres).

Ce qui doit être tenu à jour en permanence

Le nom légal exact de l'entité et de ses établissements dans l'Union (toute création de filiale déclenche une mise à jour).
La qualification sectorielle annexe I ou II (un MSP qui ajoute une offre MSSP change de sous-secteur).
L'adresse de l'établissement principal et du représentant article 26(3) si l'entité n'est pas établie dans l'Union.
Les coordonnees opérationnelles (email, téléphone) qui doivent rester joignables 24/7 pour les notifications d'incident.
La liste des états membres ou des services sont fournis (un nouveau client en Italie = mise à jour).
Les plages IP de l'entité, qui evoluent a chaque migration cloud, chaque nouveau bloc CIDR loue, chaque bascule de CDN.

La difficulte reelle : ces informations vivent dans 6 systèmes differents (CRM commercial pour les pays servis, IPAM ou console cloud pour les plages IP, registre du commerce pour les établissements, annuaire RH pour les contacts), et personne ne les reconcilie avec le registre ILR.

Comment Luxgap automatise ce risque

Notre Luxgap NIS2 Registry Sync transforme le déclaratif annuel en registre vivant synchronise automatiquement avec votre réalité opérationnelle. L'outil se connecte a vos consoles AWS, Azure, GCP, OVH, LuxConnect et eBRC pour extraire vos plages IP reelles, croise avec votre CRM (HubSpot, Salesforce, Odoo) pour détecter les nouveaux états membres servis, et surveille le registre de commerce luxembourgeois et européen pour capter toute création d'établissement.

Scanne en continu vos comptes cloud et detecte chaque nouveau bloc CIDR, IP elastique ou range BGP attribue a votre entité, sans intervention manuelle.
Identifié automatiquement les nouveaux états membres servis en analysant les adresses de facturation et de livraison dans votre CRM, et déclenche une alerte si un pays nouveau franchit un seuil matériel.
Compare en temps reel votre déclaration ILR avec votre réalité opérationnelle et produit un diff visuel des ecarts a corriger.
Genere automatiquement le dossier de mise à jour article 27(3) dans le format attendu par l'ILR, pret a soumettre via le mécanisme national de l'article 3(4).
Alerte sur Teams ou Slack des qu'une modification déclenche le délai de 3 mois et suit le compte a rebours jusqu'à la notification effective.
Produit un rapport PDF horodate et cryptographiquement scelle, opposable a l'ILR, qui prouve la fraicheur du registre a toute date.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos consoles cloud reelles, avec un scan gratuit sous 48h pour mesurer l'ecart entre votre déclaration ILR et votre empreinte technique reelle.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Registre des entités

Ils nous font confiance

Avant de discuter