Article 8

Autorités compétentes et points de contact uniques

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

1. Chaque État membre désigne ou établit une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de supervision visées au chapitre VII (ci-après dénommées «autorités compétentes»).

2. Les autorités compétentes visées au paragraphe 1 contrôlent la mise en œuvre de la présente directive au niveau national.

3. Chaque État membre désigne ou établit un point de contact unique. Lorsqu’un État membre désigne ou établit une seule autorité compétente conformément au paragraphe 1, cette dernière fait aussi fonction de point de contact unique dudit État membre.

4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontière des autorités de son État membre avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l’ENISA, ainsi qu’à garantir la coopération intersectorielle avec les autres autorités compétentes de son État membre.

5. Les États membres veillent à ce que leurs autorités compétentes et points de contact uniques disposent de ressources suffisantes pour pouvoir s’acquitter de leurs tâches de manière effective et efficace et atteindre ainsi les objectifs de la présente directive.

6. Chaque État membre notifie à la Commission, sans retard injustifié, l’identité de l’autorité compétente visée au paragraphe 1 et du point de contact unique visé au paragraphe 3, les tâches qui sont confiées à ces autorités et toute modification ultérieure dans ce cadre. Chaque État membre rend publique l’identité de son autorité compétente. La Commission publie une liste des points de contact uniques.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

L'article 8 semble purement institutionnel, mais il a un effet opérationnel direct : il désigné qui va vous contrôler et qui recevra vos notifications d'incident. Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente et le point de contact unique NIS 2, en coordination avec le HCPN et le GOVCERT. Le piège classique : les entités essentielles et importantes identifient mal leur autorité de supervision (surtout quand elles sont multi-juridictionnelles), notifient au mauvais interlocuteur, ou ratent les délais de 24h/72h parce qu'elles n'ont pas pre-etabli le canal de contact avec l'ILR avant l'incident.

Cartographie des interlocuteurs a connaitre AVANT le premier incident

ILR : autorité competente NIS 2 et point de contact unique luxembourgeois, recoit les notifications d'incidents significatifs et conduit les audits
GOVCERT.LU / CIRCL : CSIRTs nationaux, support technique et coordination de la reponse a incident
HCPN : Haut-Commissariat a la Protection nationale, coordination strategique cyber
CNPD : si l'incident implique une violation de données personnelles (notification parallele art. 33 RGPD sous 72h)
CSSF : si vous etes une entité financiere, DORA prime et la notification se fait via la CSSF
ENISA : centralisation européenne, recoit les rapports synthetiques via l'ILR
Autorités des autres Etats membres : si vous operez transfrontalierement, l'ILR coordonne via le réseau des points de contact uniques

Le piège multi-juridiction

Une entité ayant son siege au Luxembourg mais des opérations en Belgique, France et Allemagne doit identifier l'autorité competente principale selon l'article 26 (établissement principal). Beaucoup de groupes pensent être supervises uniquement par leur autorité locale et decouvrent en plein incident qu'ils doivent notifier simultanement plusieurs régulateurs avec des formats divergents.

Comment Luxgap automatise ce risque

Notre Luxgap Authority Router elimine la confusion sur le bon interlocuteur réglementaire en pre-cartographiant, par entité legale et par scenario d'incident, l'autorité competente exacte, le canal de notification officiel et le délai applicable. Un moteur de règles cartographie votre groupe (juridictions, secteurs annexes I/II NIS 2, statut DORA, statut RGPD) et genere une matrice de routage opposable, mise a jour automatiquement quand les autorités publient des changements.

Module Authority Map : cartographie visuelle de toutes vos entités avec l'ILR, CSSF, CNPD, HCPN, GOVCERT, ENISA et les autorités cross-border reliees par scenario
Module Contact Vault : annuaire chiffre des contacts officiels (formulaires en ligne ILR, hotlines GOVCERT, portail CSSF eDesk) teste mensuellement pour vérifier que les liens et adresses sont toujours actifs
Module Incident Router : sur déclaration d'un incident dans la plateforme, genere en 90 secondes la liste exacte des autorités a notifier, les délais (24h early warning, 72h notification, 1 mois rapport final), et pre-remplit les formulaires officiels
Module Cross-Border Sync : detecte les obligations de notification multiple (ex : incident touchant des clients FR + DE) et coordonne le timing pour eviter qu'une autorité apprenne l'incident par une autre
Module Regulatory Watch : agent IA qui surveille quotidiennement les sites ILR, ENISA, CSSF, CNPD et alerte par Teams si une autorité publie un changement de procédure ou de point de contact
Module Proof of Notification : archive cryptographiquement scellee de chaque notification envoyee (horodatage, accuse de reception, contenu), opposable en cas de litige avec l'autorité

Disponible en SaaS (Starter 1 entité legale, Pro jusqu'a 10 entités, Enterprise illimite multi-juridictions), ou inclus dans le mandat DPO/CISO Luxgap. Demandez votre matrice de routage gratuite en 48h, livree avec la cartographie complète de vos obligations de notification NIS 2, DORA et RGPD.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Autorités compétentes et points de contact uniques

Ils nous font confiance

Avant de discuter