Je dois mettre mon organisation luxembourgeoise en conformité au considérant 1 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 1 NIS 2 — Considérant 1

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 1

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(1)

La directive (UE) 2016/1148 du Parlement européen et du Conseil (4) avait pour objectif de créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose NIS 2 et désigné l'ILR comme autorité competente unique pour l'enregistrement des entités, la reception des notifications d'incident, les inspections et les sanctions administratives. La continuite mentionnée au considérant 1 se traduit concretement par l'obligation pour chaque entité essentielle ou importante de s'enregistrer auprès de l'ILR et de démontrer la mise en œuvre des 10 mesures de l'article 21.

Pratique Luxgap : ne presumez pas votre statut, faites trancher l'eligibilite par un dossier opposable a l'ILR avant la prochaine vague d'inspections, surtout si vous etiez hors champ NIS 1.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant rappelle que NIS 2 n'est pas un texte neuf surgi de nulle part, mais la suite logique de NIS 1 (directive 2016/1148). En pratique, l'ILR sanctionné les entités qui croient encore raisonner en logique NIS 1 (OSE/FSN, auto-declaration, périmètre etroit) alors que NIS 2 elargit massivement le champ et durcit les exigences. Le piège : invoquer la conformité NIS 1 comme socle suffisant, sans avoir refait l'analyse d'eligibilite ni la cartographie des services essentiels au sens des annexes I et II.

Ce que ce considérant change concretement pour vous

La continuite des services essentiels devient un objectif normatif, pas un slogan : il faut des plans de continuite (BCP) et de reprise (DRP) testes, pas seulement documentes.
La notion de capacites de cybersécurité implique des moyens humains, techniques et organisationnels mesurables, pas une simple politique PDF.
Les secteurs clés incluent desormais l'administration publique, la gestion des dechets, la fabrication de produits critiques, l'agroalimentaire, la recherché : beaucoup d'entités luxembourgeoises tombent dans le périmètre sans le savoir.
L'argument nous etions hors NIS 1 ne tient plus : il faut refaire le test d'eligibilite NIS 2 entité par entité du groupe.
L'ILR attend une logique de progression continue : ce que vous aviez sous NIS 1 est un plancher, pas un plafond.

Comment Luxgap automatise ce risque

Notre Luxgap NIS2 Scope Radar repond a la premiere question que personne ne sait trancher seul : suis-je entité essentielle, importante, ou hors champ ?. Un agent IA croise votre registre RCS, vos codes NACE, vos effectifs Sage BOB 50 ou Workday LU, votre chiffre d'affaires et la cartographie de vos services pour produire un verdict d'eligibilite NIS 2 opposable, en moins de 10 minutes, sans formulaire a remplir.

Detecte automatiquement chaque entité du groupe eligible aux annexes I et II en croisant RCS, NACE et données financieres publiees.
Classifie chaque entité en essentielle, importante ou hors champ avec justification article par article de la loi du 28 juillet 2023.
Compare votre dispositif actuel (heritage NIS 1, ISO 27001, certifications sectorielles) aux 10 mesures de l'article 21 NIS 2 et identifié les ecarts.
Genere un dossier d'enregistrement ILR prerempli, prêt a deposer sur le portail de notification.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'une inspection ILR.
Alerte en temps reel si une nouvelle filiale, acquisition ou ligne metier fait basculer l'entité dans un nouveau statut.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 1

Ils nous font confiance

Avant de discuter