Transposition
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Transposition
1. Les États membres adoptent et publient, au plus tard le 17 octobre 2024, les dispositions nécessaires pour se conformer à la présente directive. Ils en informent immédiatement la Commission.
Ils appliquent ces dispositions à partir du 18 octobre 2024.
2. Lorsque les États membres adoptent les dispositions visées au paragraphe 1, celles-ci contiennent une référence à la présente directive ou sont accompagnées d’une telle référence lors de leur publication officielle. Les modalités de cette référence sont arrêtées par les États membres.
Au Luxembourg, la transposition de NIS 2 est assurée par la loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025. L'ILR (Institut Luxembourgeois de Régulation) est désigné comme autorité nationale compétente : il identifié les opérateurs essentiels et importants, tient le registre des entités, reçoit les notifications d'incident, mène les inspections et inflige les sanctions administratives. Le calendrier national a connu un décalage par rapport à la date du 18 octobre 2024 fixée par l'article 41, mais les obligations de fond et le pouvoir de sanction de l'ILR sont pleinement opérationnels.
Pratique Luxgap : ne calez pas votre planning sur la lettre de désignation de l'ILR. Procédez dès maintenant à votre auto-identification et préparez votre enregistrement au registre des entités, car le retard de transposition n'exonère pas une entité de ses obligations de cybersécurité.