Je dois mettre mon organisation luxembourgeoise en conformité à l'article 35 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueL'article 35 organise la passerelle entre NIS 2 et RGPD : dès qu'un incident de cybersécurité touche des données personnelles, l'ILR doit prévenir la CNPD sans retard. Le piège pour l'entité essentielle ou importante, c'est de gérer ces deux notifications en silos : un ticket ILR rédigé par le RSSI, une notification CNPD rédigée par le DPO, avec des récits divergents sur les faits, les volumes, et les mesures prises. Les autorités confrontent ensuite les deux versions et sanctionnent l'incohérence, qui devient la preuve d'un défaut d'accountability article 5(2) RGPD et d'une gouvernance défaillante article 21 NIS 2.La règle ne bis in idem mal compriseLe paragraphe 2 interdit le cumul d'amendes ILR + CNPD pour le même comportement, mais cette protection est plus étroite qu'il n'y paraît :Seule l'amende administrative est exclue. L'ILR peut toujours imposer les mesures d'exécution de l'article 32(4) a-h et 33(4) a-g : injonction, ordre d'audit, suspension de certification, et même interdiction temporaire d'exercer une fonction de direction.Le ne bis in idem ne s'applique que si le comportement est identique. Un défaut de mesures techniques (art. 21 NIS 2) qui cause une fuite (art. 32 RGPD) = même comportement. Un défaut de notification à la CNPD (art. 33 RGPD) + un défaut de notification à l'ILR (art. 23 NIS 2) = deux comportements distincts, deux amendes cumulables.La notification ILR (24h-72h selon l'article 23) et la notification CNPD (72h selon l'article 33 RGPD) ont des contenus, des seuils et des destinataires différents. Vous devez produire les deux, cohérentes entre elles.Le paragraphe 3 ajoute une complication transfrontalière : si votre lead supervisor RGPD est en Irlande, en France ou en Allemagne, l'ILR informe d'abord la CNPD luxembourgeoise, qui relaie ensuite à l'autorité chef de file. Le récit doit donc tenir face à trois autorités.Comment Luxgap automatise ce risqueNotre Luxgap Dual-Track Incident Orchestrator élimine le risque de récits divergents entre votre notification ILR et votre notification CNPD en produisant une source unique de vérité forensique à partir de laquelle les deux dossiers sont générés automatiquement. Dès qu'un incident est déclaré dans Microsoft Sentinel, CrowdStrike Falcon, Defender XDR ou Wazuh, l'agent IA reconstruit la timeline complète, qualifié en temps réel s'il y a violation de données personnelles au sens de l'article 4(12) RGPD, et déclenche en parallèle les workflows de notification ILR (article 23 NIS 2) et CNPD (article 33 RGPD) avec un contenu factuellement aligné.Détecte automatiquement le périmètre des données impactées en croisant les logs Sentinel/Defender avec votre cartographie des traitements et votre registre article 30 RGPD.Qualifié en temps réel la double nature de l'incident (NIS 2 seul, RGPD seul, ou les deux) selon une matrice de décision basée sur les lignes directrices ENISA et EDPB 9/2022.Génère les deux notifications à partir d'une timeline forensique unique...

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Article 35

Infractions donnant lieu à une violation de données à caractère personnel

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Infractions donnant lieu à une violation de données à caractère personnel

1. Lorsque les autorités compétentes prennent connaissance, dans le cadre de la supervision ou de l’exécution, du fait que la violation commise par une entité essentielle ou importante à l’égard des obligations énoncées aux articles 21 et 23 de la présente directive peut donner lieu à une violation de données à caractère personnel au sens de l’article 4, point 12, du règlement (UE) 2016/679, devant être notifiée en vertu de l’article 33 dudit règlement, elles en informent sans retard injustifié les autorités de contrôle visées à l’article 55 ou 56 dudit règlement.

2. Lorsque les autorités de contrôle visées à l’article 55 ou 56 du règlement (UE) 2016/679 imposent une amende administrative en vertu de l’article 58, paragraphe 2, point i), dudit règlement, les autorités compétentes n’imposent pas d’amende administrative au titre de l’article 34 de la présente directive pour une violation visée au paragraphe 1 du présent article et découlant du même comportement que celui qui a fait l’objet d’une amende administrative au titre de l’article 58, paragraphe 2, point i), du règlement (UE) 2016/679. Les autorités compétentes peuvent toutefois imposer les mesures d’exécution prévues à l’article 32, paragraphe 4, points a) à h), à l’article 32, paragraphe 5, et à l’article 33, paragraphe 4, points a) à g), de la présente directive.

3. Lorsque l’autorité de contrôle compétente en vertu du règlement (UE) 2016/679 est établie dans un autre État membre que l’autorité compétente, l’autorité compétente informe l’autorité de contrôle établie dans son propre État membre de la violation potentielle de données à caractère personnel visée au paragraphe 1.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025

Au Luxembourg, la passerelle de l'article 35 est opérée concrètement entre l'ILR (autorité compétente NIS 2 désignée par la loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025) et la CNPD (autorité de contrôle RGPD). L'ILR informe la CNPD sans retard injustifié dès qu'un incident notifié au titre de l'article 23 NIS 2 révèle une violation potentielle de données personnelles. La CNPD reste seule compétente pour qualifier la violation au sens de l'article 4(12) RGPD et pour décider d'une amende au titre de l'article 58(2)(i). Concrètement, un même incident chez un opérateur essentiel luxembourgeois (banque CSSF, hôpital, opérateur télécom POST, datacenter eBRC ou LuxConnect) peut donc déclencher deux enquêtes coordonnées mais distinctes.

Pratique Luxgap : nous préconfigurons votre Dual-Track Incident Orchestrator avec les canaux officiels ILR (portail e-incidents) et CNPD (formulaire électronique), et nous testons la coordination via un exercice de table commun ILR/CNPD une fois par an, intégré à votre mandat DPO + CISO.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 35 organise la passerelle entre NIS 2 et RGPD : dès qu'un incident de cybersécurité touche des données personnelles, l'ILR doit prévenir la CNPD sans retard. Le piège pour l'entité essentielle ou importante, c'est de gérer ces deux notifications en silos : un ticket ILR rédigé par le RSSI, une notification CNPD rédigée par le DPO, avec des récits divergents sur les faits, les volumes, et les mesures prises. Les autorités confrontent ensuite les deux versions et sanctionnent l'incohérence, qui devient la preuve d'un défaut d'accountability article 5(2) RGPD et d'une gouvernance défaillante article 21 NIS 2.

La règle ne bis in idem mal comprise

Le paragraphe 2 interdit le cumul d'amendes ILR + CNPD pour le même comportement, mais cette protection est plus étroite qu'il n'y paraît :

Seule l'amende administrative est exclue. L'ILR peut toujours imposer les mesures d'exécution de l'article 32(4) a-h et 33(4) a-g : injonction, ordre d'audit, suspension de certification, et même interdiction temporaire d'exercer une fonction de direction.
Le ne bis in idem ne s'applique que si le comportement est identique. Un défaut de mesures techniques (art. 21 NIS 2) qui cause une fuite (art. 32 RGPD) = même comportement. Un défaut de notification à la CNPD (art. 33 RGPD) + un défaut de notification à l'ILR (art. 23 NIS 2) = deux comportements distincts, deux amendes cumulables.
La notification ILR (24h-72h selon l'article 23) et la notification CNPD (72h selon l'article 33 RGPD) ont des contenus, des seuils et des destinataires différents. Vous devez produire les deux, cohérentes entre elles.
Le paragraphe 3 ajoute une complication transfrontalière : si votre lead supervisor RGPD est en Irlande, en France ou en Allemagne, l'ILR informe d'abord la CNPD luxembourgeoise, qui relaie ensuite à l'autorité chef de file. Le récit doit donc tenir face à trois autorités.

Comment Luxgap automatise ce risque

Notre Luxgap Dual-Track Incident Orchestrator élimine le risque de récits divergents entre votre notification ILR et votre notification CNPD en produisant une source unique de vérité forensique à partir de laquelle les deux dossiers sont générés automatiquement. Dès qu'un incident est déclaré dans Microsoft Sentinel, CrowdStrike Falcon, Defender XDR ou Wazuh, l'agent IA reconstruit la timeline complète, qualifié en temps réel s'il y a violation de données personnelles au sens de l'article 4(12) RGPD, et déclenche en parallèle les workflows de notification ILR (article 23 NIS 2) et CNPD (article 33 RGPD) avec un contenu factuellement aligné.

Détecte automatiquement le périmètre des données impactées en croisant les logs Sentinel/Defender avec votre cartographie des traitements et votre registre article 30 RGPD.
Qualifié en temps réel la double nature de l'incident (NIS 2 seul, RGPD seul, ou les deux) selon une matrice de décision basée sur les lignes directrices ENISA et EDPB 9/2022.
Génère les deux notifications à partir d'une timeline forensique unique horodatée et signée cryptographiquement, garantissant qu'aucun fait ne diverge entre le dossier ILR et le dossier CNPD.
Alerte le DPO et le RSSI simultanément sur Teams ou Slack avec les compteurs des deux échéances (24h ILR alerte précoce, 72h ILR et CNPD notification complète, 1 mois rapport final).
Anticipe le scénario transfrontalier de l'article 35(3) en identifiant votre lead supervisor RGPD et en préparant la communication relais via la CNPD luxembourgeoise.
Produit un dossier d'audit opposable, scellé par horodatage qualifié eIDAS, qui démontre la cohérence des récits si l'ILR ou la CNPD ouvrent une enquête conjointe.

Disponible en complément d'un mandat DPO et CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur un scénario d'incident réel issu de votre environnement, avec un audit blanc gratuit sous 48h pour mesurer votre exposition au cumul ILR + CNPD avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Infractions donnant lieu à une violation de données à caractère personnel

Ils nous font confiance

Avant de discuter