Le piège classique
L'article 46 est une clause de droit de l'Union purement formelle : une directive s'adresse aux États membres, pas directement aux entreprises. Le piège n'est donc pas dans cet article, mais dans sa conséquence directe : NIS 2 n'a aucun effet tant qu'elle n'est pas transposee en droit national. Les organisations qui attendent un hypothetique règlement NIS 2 applicable directement se trompent de combat. Au Luxembourg, c'est la loi du 28 juillet 2023 relative a la cybersécurité, modifiee le 28 juillet 2025, qui cree les obligations opposables, et c'est l'ILR qui inflige les sanctions. Votre conformité se mesure a l'aune du texte luxembourgeois, pas du texte UE brut.
Pourquoi cet article change votre méthode de veille
Une directive a destinataire unique (les États membres) impose une discipline de veille bicephale : surveiller le texte UE pour anticiper, mais piloter votre conformité sur la transposition nationale, seule source d'obligations directes.
- Le périmètre des entités essentielles et importantes (annexes I et II) peut être précisé ou élargi par le legislateur luxembourgeois lors de la désignation par l'ILR.
- Les seuils, délais de notification d'incident et plafonds de sanction applicables sont ceux de la loi LU, pas ceux cites a titre indicatif dans la directive.
- Une filiale luxembourgeoise d'un groupe multinational doit se conformer a la transposition LU pour son établissement principal au sens de NIS 2, et non a celle d'un autre État membre.
- Les guides techniques de l'ENISA restent des références de fait, mais ne creent pas d'obligation autonome : ils eclairent l'interprétation du texte national.
Comment Luxgap automatise ce risque
Notre Luxgap Transposition Radar elimine l'angle mort entre le texte UE et votre obligation reelle en suivant en continu l'état de transposition de NIS 2 et de ses actes connexes dans la legislation luxembourgeoise. Un agent Iave spécialisé lit les publications du Memorial, les communications de l'ILR et les actes d'exécution de la Commission, puis projette chaque évolution sur votre périmètre declare (secteur annexe I/II, qualification essentielle ou importante, établissement principal).
- Detecte automatiquement chaque modification de la loi du 28 juillet 2023 et de ses règlements grand-ducaux des leur publication au Journal officiel luxembourgeois.
- Classifie votre entité (essentielle ou importante) selon les critères sectoriels et de taille retenus par l'ILR, et alerte sur tout changement de qualification.
- Genere une table de correspondance horodatee entre chaque article NIS 2 et sa disposition de transposition LU applicable, avec les seuils et délais reellement opposables.
- Alerte par Teams ou email lors de toute nouvelle désignation, mise à jour de seuil ou évolution du plafond de sanction.
- Produit un rapport PDF horodate opposable a l'ILR, demontrant que votre dispositif de veille réglementaire est actif et documente.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.