Comité

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

Comité

1. La Commission est assistée par un comité. Ledit comité est un comité au sens du règlement (UE) no 182/2011.

2. Lorsqu’il est fait référence au présent paragraphe, l’article 5 du règlement (UE) no 182/2011 s’applique.

3. Lorsque l’avis du comité doit être obtenu par procédure écrite, ladite procédure est close sans résultat lorsque, dans le délai prévu pour émettre un avis, le président du comité le décide ou un membre du comité le demande.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025, transpose NIS 2 et désigné l'ILR comme autorité nationale competente. Les actes d'execution adoptes via le comite de l'article 39 sont directement applicables, mais l'ILR publie en complement ses propres lignes directrices sectorielles et FAQ, qui precisent les attentes concretes pour les operateurs essentiels et importants désignés au Luxembourg.

Pratique Luxgap : nous configurons Luxgap Regulatory Radar pour surveiller spécifiquement les publications de l'ILR, du HCPN et du GovCERT.lu, en plus du JOUE et de l'ENISA, afin que vos alertes refletent le standard de contrôle reellement applique a Kahler, Luxembourg-Ville et Esch.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 39 est un article purement institutionnel : il organise la procédure de comitologie entre la Commission européenne et les Etats membres pour adopter les actes d'execution prevus par NIS 2 (notamment ceux de l'article 21(5) sur les mesures techniques, ou de l'article 23 sur les formats de notification d'incident). Le piège pour les entités essentielles et importantes n'est pas dans le texte lui-meme, mais dans son angle mort : les exigences NIS 2 ne sont pas figees au 17 octobre 2024. La Commission peut, via ce comite, publier a tout moment de nouveaux actes d'execution qui precisent, durcissent ou sectorisent les obligations. L'ILR et l'ENISA relaient ensuite ces actes, et les organisations qui ne suivent pas la veille réglementaire decouvrent leurs nouvelles obligations lors d'une inspection.

Pourquoi cet article doit vous interesser malgre son apparence procedurale

Le règlement d'execution 2024/2690 du 17 octobre 2024, adopte via ce comite, a deja précisé les exigences techniques de l'article 21 pour les fournisseurs DNS, cloud, datacenter, CDN, places de marche, moteurs de recherché et réseaux sociaux.
D'autres actes d'execution sont en preparation : formats de notification d'incident, seuils de signification, modèles de rapport final a 30 jours.
Les guides ENISA et les FAQ ILR evoluent en parallele et constituent le standard de fait sur lequel les inspecteurs se basent.
Une entité jugee conforme en janvier peut être jugee non conforme en juillet sans qu'aucune ligne du texte initial n'ait change, simplement parce qu'un acte d'execution a précisé une attente technique.
L'argument nous n'etions pas au courant n'est jamais recevable : les actes d'execution sont publies au JOUE et la veille réglementaire fait partie de la gouvernance attendue d'une entité essentielle ou importante.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Radar transforme la veille réglementaire NIS 2, DORA, RGPD et IA Act en un flux opposable, plutot qu'en une newsletter que personne ne lit. Un agent IA surveille en continu le JOUE, les publications de l'ILR, les guidelines ENISA, les décisions du comite de l'article 39 et les FAQ sectorielles, croise chaque nouveaute avec votre référentiel d'obligations Luxgap et déclenche une alerte ciblee uniquement quand un acte concerne reellement votre perimetre.

Surveille en temps reel le JOUE, le site ILR, le site ENISA et les pages comitologie de la Commission, avec détection automatique des nouveaux actes d'execution NIS 2.
Classifie chaque publication par pertinence pour votre secteur (energie, sante, finance, infrastructure numerique) et votre qualification (entité essentielle ou importante).
Genere un differentiel automatique entre votre dossier de conformité actuel et les nouvelles exigences, avec liste des contrôles a ajouter ou modifier.
Alerte le RSSI et le DPO via Teams ou Slack des qu'un acte d'execution publie affecte votre perimetre, avec délai legal de mise en conformité calcule.
Produit un journal de veille horodate, opposable a l'ILR lors d'une inspection, qui démontré que votre organisation suit activement l'evolution du cadre.
S'intégré nativement a votre registre de mesures de sécurité Luxgap pour propager automatiquement la mise a jour des contrôles concernes.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre référentiel d'obligations reel, avec un audit blanc gratuit sous 48h pour mesurer votre dette de veille avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Comité

Ils nous font confiance

Avant de discuter