Actes juridiques sectoriels de l’Union

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

1. Lorsque des actes juridiques sectoriels de l’Union imposent à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier des incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, les dispositions pertinentes de la présente directive, y compris celles relatives à la supervision et à l’exécution prévues au chapitre VII, ne sont pas applicables auxdites entités. Lorsque des actes juridiques sectoriels de l’Union ne couvrent pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive continuent de s’appliquer aux entités non couvertes par ces actes juridiques sectoriels de l’Union.

2. Les exigences visées au paragraphe 1 du présent article sont considérées comme ayant un effet équivalent aux obligations prévues par la présente directive lorsque:

a)	les mesures de gestion des risques en matière de cybersécurité ont un effet au moins équivalent à celui des mesures prévues à l’article 21, paragraphes 1 et 2; ou

l’acte juridique sectoriel de l’Union prévoit un accès immédiat, s’il y a lieu, automatique et direct, aux notifications d’incidents par les CSIRT, les autorités compétentes ou les points de contact uniques en vertu de la présente directive, et lorsque les exigences relatives à la notification des incidents importants sont au moins équivalentes à celles prévues à l’article 23, paragraphes 1 à 6, de la présente directive.

3. Au plus tard le 17 juillet 2023, la Commission fournit des lignes directrices clarifiant l’application des paragraphes 1 et 2. La Commission réexamine ces lignes directrices à intervalles réguliers. Lors de la préparation de ces lignes directrices, la Commission tient compte de toutes les observations du groupe de coopération et de l’ENISA.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025) transpose l'article 4 et confirme que les entités financieres relevant de DORA sont supervisees par la CSSF (et non par l'ILR) pour leurs obligations cyber, tandis que les operateurs de communications electroniques restent sous l'ILR. La place financiere luxembourgeoise concentre une forte densite d'entités mixtes (PSF de support, fintechs, gestionnaires de fonds avec filiales tech), ce qui rend le mapping article 4 particulièrement sensible : une même adresse a Kirchberg peut abriter 3 entités juridiques relevant de 3 regimes differents.

Pratique Luxgap : nous documentons systématiquement le mapping article 4 dans une note signee par le CISO et validee par le conseil, conservee aupres du registre des risques pour être presentee immediatement lors d'une inspection ILR ou CSSF.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 4 organise l'articulation entre NIS 2 et les lex specialis sectorielles (DORA pour la finance, règlements transport, energie...). Le piège est binaire : croire qu'on est entierement hors NIS 2 parce qu'on releve d'un acte sectoriel, ou au contraire continuer a appliquer NIS 2 alors qu'un acte sectoriel a pris le relais. L'ILR sanctionné deux profils symetriques : l'entité financiere qui notifié ses incidents au CSIRT national au lieu de la CSSF/AED sous DORA, et l'entité mixte (groupe avec filiale fintech et filiale telecom) qui applique uniformement un seul regime alors que chaque entité juridique releve d'un texte different. La charge de la preuve de l'equivalence pese sur l'entité, pas sur le régulateur.

Le test d'equivalence en pratique : les 5 questions a documenter

Quel acte sectoriel UE me couvre ? DORA (règlement 2022/2554) pour les entités financieres, code des communications electroniques européen pour les telecoms, règlements aviation (EASA Part-IS) pour l'aerien, etc.
Cet acte couvre-t-il TOUTES mes obligations NIS 2 ? Les mesures techniques (art. 21) ET le regime de notification d'incident (art. 23) ? Si un seul des deux est couvert, NIS 2 continue de s'appliquer pour l'autre.
Cet acte couvre-t-il TOUTES mes entités juridiques ? Une holding luxembourgeoise avec filiale bancaire (DORA) et filiale IT services (NIS 2) doit appliquer les deux regimes en parallele, par entité.
Le CSIRT national a-t-il acces aux notifications sectorielles ? C'est le test de l'article 4(2)(b) : sans canal d'acces immediat des autorités NIS 2 aux notifications faites au régulateur sectoriel, l'equivalence tombe.
Ai-je formalise ce mapping ? Note interne datee, validee par le DPO/CISO et le conseil d'administration, opposable a l'ILR en cas de contrôle.

Sans cette cartographie ecrite, le defaut de notification au bon régulateur est une faute autonome, independamment de la qualite de la gestion d'incident.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Mapper elimine l'angle mort de la double régulation en cartographiant automatiquement, pour chaque entité juridique de votre groupe, le regime cyber applicable (NIS 2, DORA, EASA Part-IS, code des communications electroniques). L'outil croise votre registre LBR / RCS, vos codes NACE, vos agrements CSSF/CAA/ILR et vos perimetres d'activité declares pour produire une matrice entité x obligation x régulateur qui ferme definitivement la question de l'article 4.

Identifié automatiquement chaque entité juridique de votre groupe via connexion au RCS luxembourgeois et aux registres equivalents UE, avec rafraichissement mensuel des changements de NACE ou d'agrement.
Calcule pour chaque entité le regime cyber applicable en confrontant son activité reelle aux annexes I et II de NIS 2, au champ de DORA (art. 2) et aux actes sectoriels européens en vigueur.
Detecte les ruptures d'equivalence : telecom couverte par le code des communications mais sans notification CSIRT, fintech sous DORA mais filiale IT hors champ, hopital public sous NIS 2 mais activité labo couverte par autre regime.
Genere les flux de notification d'incident parametres par entité : qui notifié quoi, a quel régulateur (ILR, CSSF, ITM, CNPD), dans quel délai, avec quel canal technique.
Produit un memo juridique horodate, signe cryptographiquement, opposable a l'ILR lors d'une inspection pour démontrer le raisonnement d'equivalence article 4.
Alerte en temps reel lors de la publication d'un nouveau guide de la Commission, de l'ENISA ou de l'ILR susceptible de modifier votre mapping.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur la structure reelle de votre groupe, avec un audit blanc gratuit sous 48h pour materialiser votre exposition multi-regulateurs avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Actes juridiques sectoriels de l’Union

Ils nous font confiance

Avant de discuter