Article 36

Sanctions

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Sanctions

Les États membres déterminent le régime des sanctions applicables aux violations des dispositions nationales adoptées conformément à la présente directive et prennent toutes les mesures nécessaires pour assurer la mise en œuvre de ces sanctions. Les sanctions prévues sont effectives, proportionnées et dissuasives. Les États membres informent la Commission, au plus tard le 17 janvier 2025, des règles et mesures adoptées à cet égard, ainsi que, sans retard, de toute modification qui y serait apportée ultérieurement.

Spécificité Luxembourg
loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui désigné les operateurs essentiels et importants, recoit les notifications d'incident, mene les inspections et inflige les sanctions administratives. La loi du 28 juillet 2023 relative a la cybersécurité, modifiée par la loi du 28 juillet 2025, transpose l'article 36 et fixe le régime national : amendes administratives pouvant atteindre 10 M'EUR ou 2 % du chiffre d'affaires annuel mondial pour les entités essentielles, et 7 M'EUR ou 1,4 % pour les entités importantes, avec possibilité de mesures coercitives visant directement les dirigeants.

Pratique Luxgap : constituez dés aujourd'hui un dossier de preuve permanent et horodaté, car lors d'une inspection l'ILR vous demandera de démontrer la conformité a un instant T, charge de la preuve a votre charge.