Le piège classique
L'article 41 fixe au 17 octobre 2024 la date limite de transposition et au 18 octobre 2024 la date d'application effective. Le piège n'est pas juridique mais opérationnel : beaucoup d'entités essentielles et importantes ont attendu la publication de la loi nationale pour lancer leur mise en conformité, et se retrouvent avec un retard structurel de 12 a 18 mois face a un ILR qui inspecte deja sur la base de la loi du 28 juillet 2023. Les autorités ne sanctionnent pas le retard de transposition de l'Etat, elles sanctionnent l'entité qui n'a pas anticipe et qui decouvre ses obligations au premier contrôle.
Ce que la date du 18 octobre 2024 déclenche concretement
- Obligation de notification d'incident significatif sous 24h (alerte precoce) puis 72h (notification) a l'ILR, des le premier jour d'application.
- Obligation pour l'organe de direction d'avoir approuve les mesures de gestion des risques cyber (article 20) et de pouvoir le démontrer par PV.
- Obligation d'enregistrement aupres de l'ILR pour les entités des annexes I et II, avec mise a jour continue des informations (perimetre, contacts, plages IP pour les fournisseurs DNS, TLD, cloud, etc.).
- Demarrage du compteur des sanctions : jusqu'a 10 M EUR ou 2% du CA mondial pour les entités essentielles, 7 M EUR ou 1,4% pour les importantes.
- Application immediate des règles de supervision : inspections sur site, audits de sécurité ad hoc, demandes d'information, sans période de grace.
L'erreur strategique : attendre le premier contrôle ILR
NIS 2 n'est pas un projet documentaire. C'est un changement de regime de responsabilité des dirigeants. L'article 20(1) rend l'organe de direction personnellement responsable de l'approbation et du suivi des mesures. Une entité qui se reveille 6 mois apres le 18 octobre 2024 sans cartographie des risques, sans plan de continuite teste, sans politique de chaîne d'approvisionnement, et sans PV d'approbation par le board, est en defaut caracterise des le premier jour de l'inspection.
Comment Luxgap automatise ce risque
Notre Luxgap NIS2 Readiness Radar calcule en temps reel votre ecart de conformité NIS 2 par rapport a la date d'application du 18 octobre 2024, en croisant 47 obligations decoulant de la directive et de la loi luxembourgeoise du 28 juillet 2023 avec l'etat reel de votre SI. L'outil interroge automatiquement Microsoft Defender, Azure Sentinel, Active Directory, CrowdStrike, Wazuh, votre CMDB et vos contrats fournisseurs pour produire un score d'exposition opposable, sans demander au RSSI de remplir un seul questionnaire Excel.
- Detecte automatiquement votre qualification d'entité essentielle ou importante en croisant code NACE, effectif et CA via l'API du registre de commerce luxembourgeois.
- Scanne en continu les 10 mesures de l'article 21 (analyse de risques, gestion d'incident, continuite, supply chain, cryptographie, MFA, etc.) et identifié les contrôles manquants avec preuves techniques a l'appui.
- Genere le dossier d'enregistrement ILR preremplie avec plages IP, points de contact, perimetre territorial et services critiques, prets a soumettre via MyGuichet.
- Produit le PV d'approbation par le board avec la cartographie des risques annexee, horodate et cryptographiquement scelle, opposable lors d'une inspection ILR.
- Alerte le RSSI et le DPO en temps reel (Teams, Slack, email) des qu'un incident significatif au sens de l'article 23 est detecte, avec le projet de notification 24h prerempli.
- Calcule un score de probabilite d'inspection ILR base sur votre sectorisation, vos incidents historiques et les priorités annoncees par le régulateur.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre perimetre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
