Je dois mettre mon organisation luxembourgeoise en conformité au considérant 10 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 10 NIS 2 — Considérant 10

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 10

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(10)

Bien que la présente directive s’applique aux entités exerçant des activités de production d’électricité à partir de centrales nucléaires, certaines de ces activités peuvent être liées à la sécurité nationale. Lorsque tel est le cas, un État membre devrait être en mesure d’exercer sa compétence en matière de sauvegarde de la sécurité nationale en ce qui concerne ces activités, y compris les activités au sein de la chaîne de valeur nucléaire, conformément aux traités.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025)

Au Luxembourg, la question nucleaire reste largement théorique puisque le pays n'exploite pas de centrale nucleaire sur son territoire. En revanche, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité competente pour qualifier les entités essentielles et importantes du secteur energie, y compris pour les activités d'importation, de transit et de distribution d'electricite d'origine nucleaire produite a l'étranger (Cattenom, Tihange). La coordination avec le Haut-Commissariat a la Protection nationale (HCPN) est requise des qu'une activité touche a la sécurité nationale.

Pratique Luxgap : pour tout acteur luxembourgeois de la chaîne de valeur nucleaire (trading energie, interconnexion, ingenierie), nous cartographions des le scoping si vos activités relevent du regime NIS 2 standard ILR ou du regime mixte ILR / HCPN, pour eviter une qualification erronee en entité essentielle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les operateurs de centrales nucleaires et leur chaîne de valeur (combustible, maintenance spécialisée, transport, dechets) croient souvent être exclus de NIS 2 au motif que leurs activités touchent a la sécurité nationale. C'est faux : le considérant 10 confirme que la directive s'applique bien aux producteurs d'electricite d'origine nucleaire. Seules certaines activités précisés peuvent être soustraites par l'état membre au titre de la sécurité nationale, et c'est a l'ILR et aux autorités competentes nationales de tracer cette frontière, pas a l'exploitant lui-meme.

La cartographie en pratique : separer ce qui relevé de NIS 2 et ce qui relevé de la sécurité nationale

Le considérant cree une zone grise dangereuse. L'exploitant doit documenter, activité par activité, le regime applicable, sous peine de double sanction : non-conformite NIS 2 d'un cote, manquement aux obligations de sécurité nationale de l'autre.

Production electrique standard, IT corporate, supervision industrielle non-classifiee : NIS 2 plein regime.
Activités liées au combustible, a la surete, aux materiaux sensibles : potentiellement exclues si l'état membre l'invoque expressement.
Chaîne de valeur nucleaire (sous-traitants maintenance, transport, ingenierie) : présomption NIS 2, sauf décision contraire motivee.
Systèmes mixtes (un SCADA qui pilote du standard et du sensible) : segmentation obligatoire pour eviter la contagion juridique.

Comment Luxgap automatise ce risque

Notre Luxgap Nuclear Scope Mapper trace pour vous la frontière entre activités NIS 2 et activités sécurité nationale, et la rend opposable. L'outil ingere votre cartographie d'actifs depuis votre CMDB (ServiceNow, GLPI), vos référentiels OT (Claroty, Nozomi, Microsoft Defender for IoT) et vos contrats fournisseurs Odoo ou SAP, puis classifie chaque système, processus et sous-traitant selon une grille croisant les critères NIS 2 annexe I et les catégories nationales de sécurité.

Classifie automatiquement chaque actif et processus selon une matrice NIS 2 / sécurité nationale validee avec l'ILR et le Haut-Commissariat a la Protection nationale.
Detecte les zones grises ou un même système sert simultanement des activités NIS 2 et des activités sensibles, et propose le plan de segmentation réseau correspondant.
Suit la chaîne de valeur nucleaire complète (sous-traitants, sous-sous-traitants maintenance et transport) et signale les ruptures de regime juridique.
Genere un dossier de qualification d'entité opposable, horodate, demontrant pour chaque activité le regime applicable et les mesures NIS 2 deployees.
Alerte en temps reel via Teams ou Slack quand une nouvelle activité, un nouveau fournisseur ou une modification de SCADA fait basculer un actif d'un regime a l'autre.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration sur votre cas concret et nos équipes realisent un audit blanc gratuit sous 48h pour cartographier les zones de risque avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 10

Ils nous font confiance

Avant de discuter