Je dois mettre mon organisation luxembourgeoise en conformité au considérant 101 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 101 eclaire la philosophie de l'article 23 : la notification d'incident n'est pas une formalite administrative, c'est un processus en plusieurs etapes (alerte précoce 24h, notification 72h, rapport final 1 mois). L'ILR sanctionné deux derives opposees : les entités qui notifient trop tard par peur de mal qualifier l'incident, et celles qui sous-evaluent l'évaluation initiale en ne documentant pas les critères pris en compte (systèmes touches, gravité technique, vulnerabilites exploitees, historique). Sans trace de cette évaluation, impossible de démontrer que la décision de ne pas notifier etait justifiee.Les critères d'évaluation initiale a tracer obligatoirementLe considérant 101 enumere explicitement les facteurs que votre évaluation initiale doit intégrer pour qualifier un incident d'important :Réseau et systèmes d'information touches, et leur criticite dans la fourniture de vos services essentiels.Gravité et caracteristiques techniques de la cybermenace (ransomware, exfiltration, DDoS, supply chain).Vulnerabilites sous-jacentes effectivement exploitees (CVE, mauvaise configuration, credential leak).Expérience anterieure de l'entité avec des incidents similaires (récurrence = aggravation).Mesure dans laquelle le fonctionnement du service est affecte (pourcentage d'indisponibilite).Durée de l'incident (minutes, heures, jours).Nombre de beneficiaires de services touches.Perte financiere directe et dommage matériel ou moral cause a des tiers.Si un seul de ces critères bascule au-dessus de votre seuil documente, l'alerte précoce 24h se déclenche automatiquement. Pas de debat humain sous stress a 3h du matin.Comment Luxgap automatise ce risqueNotre Luxgap Incident Severity Engine elimine la zone grise du faut-il notifier l'ILR ? en calculant en temps reel un score de sévérité sur les 8 critères du considérant 101, directement branche sur votre SIEM (Microsoft Sentinel, Wazuh, Splunk, CrowdStrike Falcon) et votre CMDB. Des qu'un incident est detecte, l'outil agrege automatiquement les signaux techniques, croise avec la criticite metier des actifs touches et déclenche les workflows de notification selon les paliers 24h / 72h / 1 mois.Calcule un score de sévérité continu en croisant alertes SIEM, criticite CMDB, nombre d'utilisateurs impactes et durée d'indisponibilite mesuree via vos sondes de supervision.Déclenche automatiquement une alerte Teams ou Slack au RSSI et au dirigeant des que le score franchit le seuil incident important au sens NIS 2.Pre-remplit le formulaire de notification ILR en 24h avec les elements exiges (systèmes touches, vecteur soupconne, mesures conservatoires) directement extraits des logs.Documente l'évaluation initiale même pour les incidents NON notifiés, produisant la preuve opposable que la décision de non-notification etait motivee et tracee.Genere le rapport intermédiaire 72h et le rapport final 1 mois avec une chronologie horodatee cryptographiquement scellee, opposable a l'ILR lors...

Considérant 101 NIS 2 — Considérant 101

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 101

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(101)

La présente directive établit une approche en plusieurs étapes de la notification des incidents importants afin de trouver le juste équilibre entre, d’une part, la notification rapide qui aide à atténuer la propagation potentielle des incidents importants et permet aux entités essentielles et importantes de chercher de l’aide et, d’autre part, la notification approfondie qui permet de tirer des leçons précieuses des incidents individuels et d’améliorer au fil du temps la cyberrésilience des entreprises individuelles et de secteurs tout entiers. À cet égard, la présente directive devrait inclure la notification des incidents qui, sur la base d’une évaluation initiale effectuée par l’entité concernée, pourraient entraîner des perturbations opérationnelles graves des services ou des pertes financières pour ladite entité, ou nuire à d’autres personnes physiques ou morales en causant un dommage matériel, corporel ou moral considérable. Cette évaluation initiale devrait tenir compte, entre autres, du réseau et des systèmes d’information touchés et notamment de leur importance dans la fourniture des services de l’entité, de la gravité et des caractéristiques techniques de la cybermenace et de toutes les vulnérabilités sous-jacentes qui sont exploitées ainsi que de l’expérience de l’entité en matière d’incidents similaires. Des indicateurs tels que la mesure dans laquelle le fonctionnement du service est affecté, la durée d’un incident ou le nombre de bénéficiaires de services touchés pourraient jouer un rôle important pour déterminer si la perturbation opérationnelle du service est grave.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR la reception des notifications d'incident important. Le portail de notification ILR exige l'alerte précoce sous 24h, la notification détaillée sous 72h et le rapport final sous 1 mois, conformément a l'article 23 NIS 2. L'évaluation initiale prévue au considérant 101 doit être conservee même en cas de non-notification : l'ILR peut la demander lors d'une inspection pour vérifier que la qualification de l'incident etait motivee.

Pratique Luxgap : maintenez une matrice de seuils approuvee par votre direction, intégrée a votre SIEM, et conservez l'horodatage de chaque évaluation initiale pendant au moins 5 ans pour couvrir le délai de prescription des sanctions ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 101 eclaire la philosophie de l'article 23 : la notification d'incident n'est pas une formalite administrative, c'est un processus en plusieurs etapes (alerte précoce 24h, notification 72h, rapport final 1 mois). L'ILR sanctionné deux derives opposees : les entités qui notifient trop tard par peur de mal qualifier l'incident, et celles qui sous-evaluent l'évaluation initiale en ne documentant pas les critères pris en compte (systèmes touches, gravité technique, vulnerabilites exploitees, historique). Sans trace de cette évaluation, impossible de démontrer que la décision de ne pas notifier etait justifiee.

Les critères d'évaluation initiale a tracer obligatoirement

Le considérant 101 enumere explicitement les facteurs que votre évaluation initiale doit intégrer pour qualifier un incident d'important :

Réseau et systèmes d'information touches, et leur criticite dans la fourniture de vos services essentiels.
Gravité et caracteristiques techniques de la cybermenace (ransomware, exfiltration, DDoS, supply chain).
Vulnerabilites sous-jacentes effectivement exploitees (CVE, mauvaise configuration, credential leak).
Expérience anterieure de l'entité avec des incidents similaires (récurrence = aggravation).
Mesure dans laquelle le fonctionnement du service est affecte (pourcentage d'indisponibilite).
Durée de l'incident (minutes, heures, jours).
Nombre de beneficiaires de services touches.
Perte financiere directe et dommage matériel ou moral cause a des tiers.

Si un seul de ces critères bascule au-dessus de votre seuil documente, l'alerte précoce 24h se déclenche automatiquement. Pas de debat humain sous stress a 3h du matin.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Severity Engine elimine la zone grise du faut-il notifier l'ILR ? en calculant en temps reel un score de sévérité sur les 8 critères du considérant 101, directement branche sur votre SIEM (Microsoft Sentinel, Wazuh, Splunk, CrowdStrike Falcon) et votre CMDB. Des qu'un incident est detecte, l'outil agrege automatiquement les signaux techniques, croise avec la criticite metier des actifs touches et déclenche les workflows de notification selon les paliers 24h / 72h / 1 mois.

Calcule un score de sévérité continu en croisant alertes SIEM, criticite CMDB, nombre d'utilisateurs impactes et durée d'indisponibilite mesuree via vos sondes de supervision.
Déclenche automatiquement une alerte Teams ou Slack au RSSI et au dirigeant des que le score franchit le seuil incident important au sens NIS 2.
Pre-remplit le formulaire de notification ILR en 24h avec les elements exiges (systèmes touches, vecteur soupconne, mesures conservatoires) directement extraits des logs.
Documente l'évaluation initiale même pour les incidents NON notifiés, produisant la preuve opposable que la décision de non-notification etait motivee et tracee.
Genere le rapport intermédiaire 72h et le rapport final 1 mois avec une chronologie horodatee cryptographiquement scellee, opposable a l'ILR lors d'une inspection.
Apprend de votre historique : si un incident similaire est deja survenu, le score est ajuste a la hausse conformément au considérant 101.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes connectent l'outil a votre SIEM en environnement de test pour rejouer vos 10 derniers incidents et vous montrer combien auraient du être notifiés a l'ILR, avec un audit blanc gratuit sous 48h.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 101

Ils nous font confiance

Avant de discuter