Assistance mutuelle

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Assistance mutuelle

1. Lorsqu’une entité fournit des services dans plusieurs États membres, ou fournit des services dans un ou plusieurs États membres alors que ses réseaux et systèmes d’information sont situés dans un ou plusieurs autres États membres, les autorités compétentes des États membres concernés coopèrent et se prêtent mutuellement assistance si nécessaire. Cette coopération suppose, au minimum:

que les autorités compétentes appliquant des mesures de supervision ou d’exécution dans un État membre informent et consultent, par l’intermédiaire du point de contact unique, les autorités compétentes des autres États membres concernés en ce qui concerne les mesures de supervision et d’exécution prises;

b)	qu’une autorité compétente puisse demander à une autre autorité compétente de prendre des mesures de supervision ou d’exécution;

qu’une autorité compétente, dès réception d’une demande motivée d’une autre autorité compétente, fournisse à l’autre autorité compétente une assistance mutuelle proportionnée à ses propres ressources afin que les mesures de supervision ou d’exécution puissent être mises en œuvre de manière effective, efficace et cohérente.

L’assistance mutuelle visée au premier alinéa, point c), peut porter sur des demandes d’informations et des mesures de contrôle, y compris des demandes de procéder à des inspections sur place, à des contrôles à distance ou à des audits de sécurité ciblés. Une autorité compétente à laquelle une demande d’assistance est adressée ne peut refuser cette demande que s’il est établi que l’autorité n’est pas compétente pour fournir l’assistance demandée, que l’assistance demandée n’est pas proportionnée aux tâches de supervision de l’autorité compétente ou que la demande concerne des informations ou implique des activités dont la divulgation ou l’exercice seraient contraires aux intérêts essentiels de la sécurité nationale, la sécurité publique ou la défense de cet État membre. Avant de refuser une telle demande, l’autorité compétente consulte les autres autorités compétentes concernées ainsi que, à la demande de l’un des États membres concernés, la Commission et l’ENISA.

2. Le cas échéant et d’un commun accord, les autorités compétentes de différents États membres peuvent mener à bien des actions communes de supervision.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est désigné par la loi du 28 juillet 2023 relative a la cybersecurite comme autorité competente et point de contact unique au sens de l'article 8 de NIS 2. C'est donc l'ILR qui recoit les demandes d'assistance mutuelle des autorités homologues (CCB belge, ANSSI française, BSI allemand) et qui peut imposer une inspection sur place a une entité essentielle ou importante établie au Luxembourg, même a la demande d'un autre Etat membre. Le HCPN (Haut-Commissariat a la Protection nationale) reste implique pour les aspects de sécurité nationale qui peuvent justifier un refus d'assistance au titre de l'article 37(1) dernier alinea.

Pratique Luxgap : pour les groupes avec holding luxembourgeoise et filiales opérationnelles dans d'autres Etats membres, préparer en amont un dossier d'assistance mutuelle pre-rempli au format attendu par l'ILR, avec mapping clair des données hébergées chez eBRC, LuxConnect ou POST Luxembourg, evite les délais de reponse qui aggravent la qualification de manquement.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 37 organise la cooperation entre autorités nationales de cybersecurite quand une entité opère dans plusieurs Etats membres ou hébergé ses systèmes ailleurs que la ou elle fournit ses services. Le piège pour les entités essentielles et importantes : croire que l'ILR au Luxembourg est la seule autorité a craindre. En realite, une inspection peut être declenchee a la demande d'une autorité belge, française ou allemande, via le point de contact unique, et l'ILR doit y donner suite (inspection sur site, contrôle a distance, audit de sécurité cible). Les organisations multi-pays qui n'ont pas une vue unifiée de leur posture cyber se retrouvent a repondre a plusieurs autorités avec des reponses contradictoires, ce qui aggrave mecaniquement la sanction.

Les configurations qui déclenchent une assistance mutuelle

Entité enregistrée au Luxembourg avec data centers en France ou en Allemagne (eBRC, LuxConnect, OVH, Hetzner) : l'autorité du pays d'hébergement peut auditer.
Fournisseur de services numeriques luxembourgeois avec clients dans toute l'UE : chaque autorité nationale peut saisir l'ILR.
Groupe multi-entites (holding LU + filiales BE/FR/DE) : actions de supervision conjointes possibles entre ILR, CCB, ANSSI et BSI.
Incident majeur notifié dans un Etat membre mais avec impact transfrontalier : déclenche automatiquement l'echange d'informations.
Sous-traitance critique localisee dans un autre Etat membre : audit cible possible sur le sous-traitant a la demande de l'autorité du pays client.

Le risque concret : la reponse incoherente

Lors d'une inspection coordonnee entre ILR et une autorité homologue, les ecarts entre les reponses fournies (politique de gestion des incidents, registre des actifs, plan de continuite) sont considérés comme des indices de defaillance de gouvernance au sens de l'article 20. Une seule version de la vérité, opposable a toutes les autorités, devient une exigence opérationnelle et non plus un confort.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border Posture Vault consolide en temps reel votre posture cyber multi-juridictionnelle dans un coffre-fort unique, opposable simultanement a l'ILR, a la CCB belge, a l'ANSSI française et au BSI allemand. L'outil pull les configurations de vos systèmes (Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, eBRC, LuxConnect) et les mappe automatiquement sur la localisation géographique des données et des services, pour produire une cartographie juridictionnelle vivante.

Detecte automatiquement la localisation reelle de chaque charge de travail (region Azure, AZ AWS, datacenter eBRC ou LuxConnect) et identifié quelles autorités nationales sont competentes.
Genere une reponse type harmonisee a une demande d'assistance mutuelle, avec les mêmes preuves techniques exportees au format attendu par chaque autorité (ENISA reporting template, formulaires ILR, fiches CCB).
Alerte en temps reel via Teams ou Slack des qu'une charge de travail bascule dans une nouvelle juridiction (migration cloud, failover DR) et déclenche le pre-positionnement documentaire.
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une inspection coordonnee, demontrant que la même version des contrôles a ete presentee a toutes les autorités.
Suit les demandes d'assistance recues via le point de contact unique luxembourgeois et orchestre les délais de reponse multi-autorites dans un tableau de bord unique.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre empreinte multi-pays. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition transfrontalière avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Assistance mutuelle

Ils nous font confiance

Avant de discuter