Article 30

Notification volontaire d’informations pertinentes

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Notification volontaire d’informations pertinentes

1.   Les États membres veillent à ce que, outre l’obligation de notification prévue à l’article 23, des notifications puissent être transmises à titre volontaire aux CSIRT ou, s’il y a lieu, aux autorités compétentes par:

a)

les entités essentielles et importantes en ce qui concerne les incidents, les cybermenaces et les incidents évités;

b)

les entités autres que celles visées au point a), indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, en ce qui concerne les incidents importants, les cybermenaces ou les incidents évités.

2.   Les États membres traitent les notifications visées au paragraphe 1 du présent article conformément à la procédure énoncée à l’article 23. Les États membres peuvent traiter les notifications obligatoires en leur donnant la priorité par rapport aux notifications volontaires.

Lorsque cela est nécessaire, les CSIRT et, le cas échéant, les autorités compétentes fournissent aux points de contact uniques les informations relatives aux notifications reçues en vertu du présent article, tout en garantissant la confidentialité et une protection appropriée des informations fournies par l’entité à l’origine de la notification. Sans préjudice de la prévention et de la détection d’infractions pénales et des enquêtes et poursuites en la matière, un signalement volontaire n’a pas pour effet d’imposer à l’entité ayant effectué la notification des obligations supplémentaires auxquelles elle n’aurait pas été soumise si elle n’avait pas transmis la notification.

Spécificité Luxembourg
loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité (modifiée le 28 juillet 2025)

Au Luxembourg, les notifications volontaires sont reçues par le CSIRT national (Computer Incident Response Center Luxembourg / GOVCERT selon le secteur), tandis que l'ILR reste l'autorité compétente nationale designée pour superviser les opérateurs essentiels et importants. La loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025, transpose le canal volontaire de l'article 30 et confirme qu'un signalement volontaire ne crée aucune obligation supplémentaire à charge de l'entité notifiante.

Pratique Luxgap : nous paramétrons le Near-Miss Sentinel pour router vos dossiers vers le bon point de contact (CIRCL ou GOVCERT.LU) et conservons une copie scellée pour démontrer votre diligence en cas d'inspection ILR.