Autorités compétentes et points de contact uniques
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Autorités compétentes et points de contact uniques
1. Chaque État membre désigne ou établit une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de supervision visées au chapitre VII (ci-après dénommées «autorités compétentes»).
2. Les autorités compétentes visées au paragraphe 1 contrôlent la mise en œuvre de la présente directive au niveau national.
3. Chaque État membre désigne ou établit un point de contact unique. Lorsqu’un État membre désigne ou établit une seule autorité compétente conformément au paragraphe 1, cette dernière fait aussi fonction de point de contact unique dudit État membre.
4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontière des autorités de son État membre avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l’ENISA, ainsi qu’à garantir la coopération intersectorielle avec les autres autorités compétentes de son État membre.
5. Les États membres veillent à ce que leurs autorités compétentes et points de contact uniques disposent de ressources suffisantes pour pouvoir s’acquitter de leurs tâches de manière effective et efficace et atteindre ainsi les objectifs de la présente directive.
6. Chaque État membre notifie à la Commission, sans retard injustifié, l’identité de l’autorité compétente visée au paragraphe 1 et du point de contact unique visé au paragraphe 3, les tâches qui sont confiées à ces autorités et toute modification ultérieure dans ce cadre. Chaque État membre rend publique l’identité de son autorité compétente. La Commission publie une liste des points de contact uniques.
Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est désigné comme autorité nationale competente en matière de cybersécurité et comme point de contact unique au sens de l'article 8. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, confie a l'ILR la désignation des operateurs essentiels et importants, la reception des notifications d'incident, la conduite des inspections et le prononce des sanctions administratives (jusqu'à 10 M'EUR ou 2% du chiffre d'affaires annuel mondial pour les entités essentielles). C'est donc l'ILR, et non la CSSF ou la CNPD, qui constitue votre guichet NIS 2 de référence.
Pratique Luxgap : verifiez que votre plan de gestion d'incident pointe nommement le canal de notification ILR et testez la remontee au moins une fois par an, car l'inspection ILR exige une preuve de procédure opérationnelle, pas une simple politique sur papier.