Le piège classique
L'article 42 supprime l'article 19 du règlement eIDAS (UE) no 910/2014 a compter du 18 octobre 2024. Concretement, les prestataires de services de confiance non qualifiés ne relevent plus du regime de notification d'incident propre a eIDAS : ils basculent dans le regime general NIS 2. Le piège est silencieux : beaucoup de prestataires (horodatage non qualifié, cachet électronique non qualifié, services d'identification) continuent d'appliquer leurs anciennes procédures eIDAS article 19, alors que c'est desormais l'ILR au Luxembourg, et non plus uniquement l'ANSSI ou l'organe national eIDAS, qui pilote la supervision cyber et recoit les notifications d'incident significatif sous 24h / 72h / 1 mois.
Ce qui change concretement pour vous
- Les prestataires de services de confiance non qualifiés sont desormais soumis aux articles 20 a 25 de NIS 2 (gestion des risques, gouvernance, notification, enregistrement).
- La double couche eIDAS + NIS 2 disparait pour le non qualifié : un seul regime de notification, celui de l'article 23 NIS 2.
- Les prestataires qualifiés restent regis par eIDAS (articles 20 et suivants du règlement 910/2014) pour leurs obligations propres, mais sont aussi des entités essentielles au sens de l'annexe I NIS 2.
- Vos procédures internes, vos contrats clients et vos politiques de notification d'incident doivent être revus pour refleter la nouvelle autorité competente et les nouveaux délais.
- Le 18 octobre 2024 est une date couperet : un incident survenu après cette date et notifié selon l'ancien article 19 est juridiquement mal notifié.
Le test 'qualifié ou non qualifié' : la clé d'argumentation devant l'ILR
L'ILR attend de chaque prestataire de services de confiance qu'il puisse démontrer par ecrit quel regime s'applique a chacun de ses services, service par service. Un même acteur peut opérer un service d'horodatage qualifié (regime eIDAS maintenu) et un service de cachet électronique non qualifié (regime NIS 2 desormais exclusif). La cartographie service-par-service est donc le préalable a toute conformité credible.
Comment Luxgap automatise ce risque
Notre Luxgap Trust Service Mapper elimine l'angle mort eIDAS / NIS 2 en cartographiant automatiquement chacun de vos services de confiance et en determinant, service par service, quel regime de notification et quelle autorité competente s'appliquent depuis le 18 octobre 2024. L'outil interroge en continu la liste de confiance luxembourgeoise publiee par l'ILR, croise vos certificats actifs detectes via vos environnements Azure Key Vault, AWS KMS et HSM on-premise, et reconcilie le tout avec vos contrats clients stockes dans Odoo ou SharePoint.
- Detecte automatiquement chaque service de confiance actif dans votre SI et determine son statut qualifié ou non qualifié en interrogeant la trusted list LU publiee par l'ILR.
- Classifie chaque service selon le regime applicable post-18 octobre 2024 : eIDAS articles 20 et suivants pour le qualifié, NIS 2 article 23 pour le non qualifié.
- Genere les procédures de notification d'incident adaptees a chaque service, avec les délais 24h / 72h / 1 mois pre-cables vers le portail ILR.
- Alerte en temps reel via Teams ou email des qu'un nouveau certificat ou service est emis sans rattachement réglementaire documente.
- Produit un registre PDF horodate, opposable lors d'une inspection ILR, qui démontré la cartographie service-par-service et la mise à jour effectuée au 18 octobre 2024.
- Detecte les clauses contractuelles clients qui referencent encore l'article 19 eIDAS supprime et propose les avenants de mise en conformité.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos services reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
