Le piège classique
L'article 43 acte un transfert silencieux mais critique : à compter du 18 octobre 2024, les obligations de sécurité et de notification d'incident des opérateurs de communications électroniques (fournisseurs d'accès Internet, opérateurs télécoms, fournisseurs de services de communications interpersonnelles) basculent de la directive Code des communications électroniques européen (articles 40 et 41 supprimés) vers NIS 2. Le piège pour ces acteurs : croire qu'ils restent sous le régime télécom historique de l'ILR alors qu'ils sont devenus des entités essentielles au sens de l'annexe I de NIS 2, avec un référentiel de mesures techniques renforcé, des délais de notification plus stricts (alerte précoce sous 24h) et un régime de sanctions aligné sur NIS 2 (jusqu'à 10 M'EUR ou 2% du CA mondial).
Les pièges concrets de la bascule pour les opérateurs télécoms
- Croire que le statut historique d'opérateur déclaré à l'ILR suffit, alors qu'il faut désormais répondre au régime entité essentielle NIS 2 (gouvernance, gestion des risques, chaîne d'approvisionnement).
- Conserver les procédures de notification d'incident calquées sur l'ancien article 40, alors que NIS 2 impose une alerte précoce sous 24h, une notification complète sous 72h et un rapport final sous un mois.
- Oublier que les services de communications interpersonnelles non fondés sur la numérotation (messageries, visio) entrent désormais explicitement dans le périmètre élargi.
- Ne pas réviser les contrats fournisseurs (équipementiers réseau, hébergeurs, opérateurs de transit) pour intégrer les exigences de sécurité de la chaîne d'approvisionnement article 21.
- Maintenir une cartographie des actifs séparée pour le volet télécom et pour le volet IT, alors que NIS 2 exige une vision unifiée du risque.
Le standard de fait : ENISA Référence Document on Security Measures et ECASEC
Le groupe ECASEC de l'ENISA publie depuis 2011 le référentiel sécurité applicable aux opérateurs de communications électroniques. Ce document, qui servait de base aux anciens articles 40 et 41, est en cours d'alignement sur les exigences NIS 2 article 21. C'est ce référentiel que l'ILR utilisera lors des inspections post-bascule, et c'est sur cette grille que les opérateurs luxembourgeois (POST, Orange Luxembourg, Tango, Proximus, mais aussi les MVNO et les fournisseurs de messageries) seront évalués.
Comment Luxgap automatise ce risque
Notre Luxgap Telco Regime Switcher élimine l'angle mort de la bascule article 40-41 vers NIS 2 en cartographiant, service par service, le régime applicable et les écarts de conformité. L'outil ingère votre catalogue de services télécoms (depuis votre OSS/BSS, Netcracker, Amdocs, ou directement vos déclarations ILR), identifié automatiquement chaque service relevant désormais de NIS 2 (téléphonie fixe, mobile, accès Internet, messageries interpersonnelles, services de transit IP) et produit la matrice de conformité comparative entre l'ancien référentiel ECASEC et les exigences NIS 2 article 21.
- Détecte automatiquement chaque service du catalogue tombant sous NIS 2 à compter du 18 octobre 2024, avec qualification entité essentielle ou importante selon le chiffre d'affaires et la couverture géographique.
- Cartographie les écarts entre vos procédures actuelles de notification d'incident (héritées de l'article 40) et les délais NIS 2 (24h alerte précoce, 72h notification, 1 mois rapport final) avec génération du runbook adapté à l'ILR.
- Scanne en continu votre chaîne d'approvisionnement réseau (équipementiers, hébergeurs, opérateurs de transit) pour matérialiser les dépendances critiques exigées par l'article 21(2)(d).
- Génère un plan de remédiation priorisé qui aligne vos contrôles techniques sur le référentiel ENISA ECASEC mis à jour pour NIS 2.
- Produit un rapport PDF horodaté opposable à l'ILR lors d'une inspection, démontrant la transition documentée entre les deux régimes.
Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre catalogue de services réel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.
