Je dois mettre mon organisation luxembourgeoise en conformité au considérant 100 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 100 invite a diversifier la resolution DNS pour eviter une dependance excessive a un unique resolveur (souvent Google 8.8.8.8 ou Cloudflare 1.1.1.1 aux Etats-Unis). En pratique, l'ILR et l'ENISA observent que 90 pour cent des entreprises luxembourgeoises utilisent par defaut le resolveur DNS de leur FAI sans configuration de secours, et que les postes nomades basculent silencieusement vers des resolveurs publics hors UE des qu'ils quittent le réseau d'entreprise. Cette monoculture DNS exposé a deux risques : panne massive (incident Cloudflare juillet 2024) et exfiltration de l'activité de navigation vers un tiers extra-UE sans base légale.Ce que le considérant 100 implique concretementCartographier vos resolveurs DNS actuels : poste fixe, VPN, mobile (eduroam, 4G), serveurs cloud, IoT industriel.Definir une stratégie de diversification : au moins deux resolveurs de fournisseurs distincts, idéalement avec un resolveur européen souverain (DNS4EU, Quad9 cluster européen, resolveur national).Activer DNSSEC en validation cote resolveur pour détecter les empoisonnements de cache.Deployer DoH ou DoT pour chiffrer les requêtes DNS et empecher l'interception au niveau du FAI.Surveiller le shadow DNS : applications SaaS qui forcent leur propre resolveur (DoH intégré dans Firefox, Chrome, certains EDR).Documenter le choix dans votre politique de sécurité réseau pour démontrer l'alignement avec les recommandations ENISA et l'esprit de NIS 2.Comment Luxgap automatise ce risqueNotre Luxgap DNS Résilience Probe transforme cette intention du legislateur en preuve technique mesurable. L'outil deploie des sondes legeres sur vos sites, postes nomades et workloads cloud qui interrogent en continu votre infrastructure DNS, mesurent la diversite reelle de vos resolveurs et detectent les bascules silencieuses vers des resolveurs extra-UE non autorises, en s'appuyant sur les telemetries Microsoft Defender, Azure Sentinel, CrowdStrike Falcon et les logs DNS de votre pare-feu (Fortinet, Palo Alto, Stormshield).Cartographie en temps reel chaque resolveur DNS effectivement utilise par vos endpoints, conteneurs et appliances, y compris le DoH cache dans les navigateurs.Calcule un score de diversification (Herfindahl applique aux resolveurs) et alerte sur Teams des qu'un point de defaillance unique se forme.Detecte les fuites vers Google, Cloudflare US ou OpenDNS depuis vos VPN et postes nomades, avec géolocalisation de la requête.Vérifié automatiquement la validation DNSSEC, le chiffrement DoT/DoH et l'usage du resolveur DNS4EU sur l'ensemble du parc.Simule mensuellement la panne du resolveur principal pour mesurer le temps reel de bascule sur le resolveur secondaire (RTO DNS).Produit un rapport PDF horodate opposable a l'ILR demontrant la stratégie de diversification DNS conforme a l'esprit du considérant 100 et aux recommandations ENISA.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Deman...

Considérant 100 NIS 2 — Considérant 100

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 100

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(100)

Afin de préserver la fonctionnalité et l’intégrité de l’internet et de promouvoir la sécurité et la résilience du DNS, les parties prenantes concernées, y compris les entités du secteur privé de l’Union, les fournisseurs de services de communications électroniques accessibles au public, en particulier les fournisseurs de services d’accès à internet, et les fournisseurs de moteurs de recherche en ligne devraient être encouragés à adopter une stratégie de diversification de la résolution DNS. En outre, les États membres devraient encourager la mise au point et l’utilisation d’un service européen public et sécurisé de résolution de noms de domaine.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité nationale désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour superviser les operateurs essentiels et importants. RESTENA opère historiquement un resolveur DNS national pour la recherché et l'enseignement, et l'initiative européenne DNS4EU (opérée notamment par Whalebone avec un noeud regional) constitue le levier souverain naturel pour les entités luxembourgeoises souhaitant materialiser la diversification recommandee par le considérant 100.

Pratique Luxgap : pour les entités essentielles et importantes au sens de la loi du 28 juillet 2023, nous recommandons un mix DNS4EU + resolveur interne valide DNSSEC, documente dans la politique de sécurité réseau remise a l'ILR en cas d'inspection.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 100 invite a diversifier la resolution DNS pour eviter une dependance excessive a un unique resolveur (souvent Google 8.8.8.8 ou Cloudflare 1.1.1.1 aux Etats-Unis). En pratique, l'ILR et l'ENISA observent que 90 pour cent des entreprises luxembourgeoises utilisent par defaut le resolveur DNS de leur FAI sans configuration de secours, et que les postes nomades basculent silencieusement vers des resolveurs publics hors UE des qu'ils quittent le réseau d'entreprise. Cette monoculture DNS exposé a deux risques : panne massive (incident Cloudflare juillet 2024) et exfiltration de l'activité de navigation vers un tiers extra-UE sans base légale.

Ce que le considérant 100 implique concretement

Cartographier vos resolveurs DNS actuels : poste fixe, VPN, mobile (eduroam, 4G), serveurs cloud, IoT industriel.
Definir une stratégie de diversification : au moins deux resolveurs de fournisseurs distincts, idéalement avec un resolveur européen souverain (DNS4EU, Quad9 cluster européen, resolveur national).
Activer DNSSEC en validation cote resolveur pour détecter les empoisonnements de cache.
Deployer DoH ou DoT pour chiffrer les requêtes DNS et empecher l'interception au niveau du FAI.
Surveiller le shadow DNS : applications SaaS qui forcent leur propre resolveur (DoH intégré dans Firefox, Chrome, certains EDR).
Documenter le choix dans votre politique de sécurité réseau pour démontrer l'alignement avec les recommandations ENISA et l'esprit de NIS 2.

Comment Luxgap automatise ce risque

Notre Luxgap DNS Résilience Probe transforme cette intention du legislateur en preuve technique mesurable. L'outil deploie des sondes legeres sur vos sites, postes nomades et workloads cloud qui interrogent en continu votre infrastructure DNS, mesurent la diversite reelle de vos resolveurs et detectent les bascules silencieuses vers des resolveurs extra-UE non autorises, en s'appuyant sur les telemetries Microsoft Defender, Azure Sentinel, CrowdStrike Falcon et les logs DNS de votre pare-feu (Fortinet, Palo Alto, Stormshield).

Cartographie en temps reel chaque resolveur DNS effectivement utilise par vos endpoints, conteneurs et appliances, y compris le DoH cache dans les navigateurs.
Calcule un score de diversification (Herfindahl applique aux resolveurs) et alerte sur Teams des qu'un point de defaillance unique se forme.
Detecte les fuites vers Google, Cloudflare US ou OpenDNS depuis vos VPN et postes nomades, avec géolocalisation de la requête.
Vérifié automatiquement la validation DNSSEC, le chiffrement DoT/DoH et l'usage du resolveur DNS4EU sur l'ensemble du parc.
Simule mensuellement la panne du resolveur principal pour mesurer le temps reel de bascule sur le resolveur secondaire (RTO DNS).
Produit un rapport PDF horodate opposable a l'ILR demontrant la stratégie de diversification DNS conforme a l'esprit du considérant 100 et aux recommandations ENISA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes deploient une sonde gratuite sous 48h pour cartographier vos resolveurs DNS reels et mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 100

Ils nous font confiance

Avant de discuter