Autorités compétentes et points de contact uniques
Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555
Autorités compétentes et points de contact uniques
1. Chaque État membre désigne ou établit une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de supervision visées au chapitre VII (ci-après dénommées «autorités compétentes»).
2. Les autorités compétentes visées au paragraphe 1 contrôlent la mise en œuvre de la présente directive au niveau national.
3. Chaque État membre désigne ou établit un point de contact unique. Lorsqu’un État membre désigne ou établit une seule autorité compétente conformément au paragraphe 1, cette dernière fait aussi fonction de point de contact unique dudit État membre.
4. Chaque point de contact unique exerce une fonction de liaison visant à assurer la coopération transfrontière des autorités de son État membre avec les autorités compétentes des autres États membres et, le cas échéant, avec la Commission et l’ENISA, ainsi qu’à garantir la coopération intersectorielle avec les autres autorités compétentes de son État membre.
5. Les États membres veillent à ce que leurs autorités compétentes et points de contact uniques disposent de ressources suffisantes pour pouvoir s’acquitter de leurs tâches de manière effective et efficace et atteindre ainsi les objectifs de la présente directive.
6. Chaque État membre notifie à la Commission, sans retard injustifié, l’identité de l’autorité compétente visée au paragraphe 1 et du point de contact unique visé au paragraphe 3, les tâches qui sont confiées à ces autorités et toute modification ultérieure dans ce cadre. Chaque État membre rend publique l’identité de son autorité compétente. La Commission publie une liste des points de contact uniques.
Au Luxembourg, la loi du 28 juillet 2023 relative à la cybersécurité (modifiée par la loi du 28 juillet 2025) désigne l'ILR (Institut Luxembourgeois de Régulation) comme autorité compétente nationale unique au sens de l'article 8 NIS 2, et donc aussi comme point de contact unique (SPOC) du Luxembourg. L'ILR centralise la désignation des opérateurs essentiels et importants, reçoit les notifications d'incident article 23, mène les inspections du chapitre VII et inflige les sanctions administratives. Le GOVCERT.LU intervient en appui technique CSIRT mais n'est pas l'autorité compétente NIS 2.
Pratique Luxgap : si vous êtes une entité luxembourgeoise avec des activités dans plusieurs États membres, votre SPOC de référence reste l'ILR, qui assure ensuite la liaison avec ses homologues. Documentez explicitement dans votre plan de réponse incident la chaîne ILR + GOVCERT.LU + (le cas échéant) CNPD pour la composante données personnelles et CSSF pour la composante DORA.