Harmonisation minimale

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

La présente directive ne fait pas obstacle à l’adoption ou au maintien par les États membres de dispositions assurant un niveau plus élevé de cybersécurité, à condition que ces dispositions soient compatibles avec les obligations des États membres prévues par le droit de l’Union.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025) exerce pleinement l'option de l'article 5 en allant au-dela du socle UE sur plusieurs points : l'ILR peut désigner comme entité essentielle des organisations sous les seuils de la directive lorsqu'elles sont jugees critiques pour le Grand-Duche (operateurs de la place financiere, infrastructure de communication souveraine type LuxConnect, eBRC). Les sanctions administratives peuvent atteindre 10 M EUR ou 2% du CA mondial pour les entités essentielles, avec pouvoir d'injonction immediate de l'ILR.

Pratique Luxgap : verifiez sans attendre votre statut de désignation aupres de l'ILR, même si vous estimez ne pas atteindre les seuils européens. Une désignation discretionnaire est possible et change radicalement vos obligations.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 5 de NIS 2 est trompeusement court : il autorise chaque Etat membre a durcir le socle européen. Résultat, une entreprise luxembourgeoise active en France, Belgique et Allemagne se retrouve avec 27 référentiels potentiellement divergents (délais de notification, perimetre sectoriel, exigences de chiffrement, obligations de reporting). L'ILR sanctionné les groupes qui s'alignent sur le plus petit denominateur commun européen alors que la loi luxembourgeoise du 28 juillet 2023 (modifiee le 28 juillet 2025) impose, sur certains points, un niveau superieur. La défense "on respecte la directive UE" ne tient pas devant un régulateur national.

Les pièges du cumul réglementaire transfrontalier

Notification d'incident : NIS 2 fixe 24h pour l'alerte precoce, mais certains Etats exigent une information sectorielle complementaire (BaFin en Allemagne pour le financier, ANSSI en France pour les OIV).
Perimetre etendu : un Etat membre peut qualifier d'"entité essentielle" une organisation que la directive classerait en "importante", avec des conséquences directes sur les contrôles ex-ante.
Exigences techniques renforcees : MFA obligatoire, segmentation réseau imposee, journalisation a 12 mois la ou la directive reste sur "mesures appropriees".
Sanctions cumulables : une même defaillance peut être poursuivie par l'ILR au Luxembourg ET par l'autorité du pays ou est localise le service impacte.
Sous-traitants critiques : la liste varie d'un Etat a l'autre, et un fournisseur cloud peut être soumis a des exigences plus strictes dans un pays que dans son pays d'établissement.
Reporting volontaire vs obligatoire : ce qui est encourage par ENISA peut être impose par un texte national.

Comment Luxgap automatise ce risque

Notre Luxgap Jurisdiction Matrix elimine l'angle mort multi-juridictionnel en cartographiant en temps reel les exigences NIS 2 applicables a chacune de vos entités, pays par pays. L'outil croise vos données d'implantation (registres KBIS, M365 tenants, Azure regions, AWS accounts par pays) avec une base juridique actualisee quotidiennement des 27 transpositions nationales et de leurs amendements, pour produire un differentiel d'obligations opposable.

Detecte automatiquement chaque pays ou votre groupe opère un service NIS 2 via les metadonnees Azure AD, AWS Organizations et vos déclarations fiscales connectees.
Compare ligne par ligne les exigences UE, luxembourgeoises (ILR), françaises (ANSSI), allemandes (BSI), belges (CCB) et neerlandaises (NCSC) pour identifier le plus haut standard applicable a chaque entité.
Alerte par Teams ou Slack des qu'une transposition nationale evolue dans un pays ou vous etes établi, avec impact immediat sur votre conformité.
Genere un registre d'obligations consolide par entité juridique, signe cryptographiquement, presentable a l'ILR comme preuve d'accountability NIS 2.
Produit la matrice de notification : pour chaque scenario d'incident, quelles autorités alerter, dans quels délais, avec quel modèle de déclaration prerempli.
Calcule un score d'exposition multi-juridictionnel et priorise les ecarts a combler selon le risque sanction.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre perimetre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos entités reelles, avec un audit blanc gratuit sous 48h pour mesurer vos ecarts pays par pays avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Harmonisation minimale

Ils nous font confiance

Avant de discuter