Je dois mettre mon organisation luxembourgeoise en conformité au considérant 103 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 103 eclaire l'article 23 du NIS 2 sur un point souvent neglige : l'obligation d'informer les destinataires du service (clients, utilisateurs, patients, administres) des cybermenaces importantes et des mesures de mitigation a leur portee. L'ILR sanctionné typiquement deux derives : l'entité qui se contente de notifier le CSIRT sans prévenir ses clients exposes, et l'entité qui facture ces communications ou les redige dans un jargon technique inaccessible. Le considérant précisé que cette information doit être gratuite, sans retard injustifie et en langage facile a comprendre.Les pièges en pratiqueConfondre la notification d'incident au CSIRT (article 23(1)) avec l'information aux destinataires : ce sont deux obligations distinctes et cumulatives.Négliger l'information sur les cybermenaces importantes qui ne se sont pas encore concretisees mais sont susceptibles de l'être (ex : campagne de phishing ciblee sur vos clients).Renvoyer le client vers un portail technique payant ou conditionner l'information a un contrat de support : le considérant impose la gratuite.Croire que l'obligation d'informer dispense de remédiation : elle est cumulative avec l'obligation de prendre immediatement les mesures techniques aux frais de l'entité.Rédiger l'avis en anglais technique alors que la clientele est francophone, germanophone ou luxembourgeoise : le critère est l'intelligibilite par le destinataire, pas la commodite de l'emetteur.Oublier de tracer la communication : sans preuve d'envoi horodatee, l'ILR considéré l'obligation comme non remplie.Comment Luxgap automatise ce risqueNotre Luxgap Threat Disclosure Orchestrator transforme l'obligation d'information aux destinataires en flux automatise, traçable et opposable. Des qu'une cybermenace importante est qualifiée dans votre SIEM (Microsoft Sentinel, Wazuh, CrowdStrike Falcon, Splunk), l'agent IA Luxgap redige automatiquement le message aux clients dans la langue de chaque destinataire, déclenche l'envoi multicanal et archive la preuve horodatee opposable a l'ILR.Detecte les cybermenaces importantes en temps reel via connecteurs natifs Sentinel, Defender XDR, Wazuh et CrowdStrike, et déclenche le workflow d'information des leur qualification.Genere automatiquement le message client en langage non technique grace a un agent LLM spécialisé, decline en FR, EN, DE et LU selon la langue contractuelle de chaque destinataire.Diffuse l'avis simultanement par email transactionnel, SMS, bandeau in-app et page de statut publique, avec accuse de reception horodate par destinataire.Calcule le délai entre qualification de la menacé et information du client, pour démontrer le respect du sans retard injustifie lors d'un contrôle ILR.Produit un rapport PDF cryptographiquement scelle listant chaque destinataire informe, le canal utilise, l'horodatage et le contenu envoye, opposable a l'ILR et au CSIRT national.Vérifié automatiquement que la communication est gratuite (pas de paywall, pas de l...

Considérant 103 NIS 2 — Considérant 103

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 103

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(103)

Le cas échéant, les entités essentielles et importantes devraient informer sans retard injustifié les destinataires de leurs services de toute mesure ou correction qu’elles peuvent appliquer pour atténuer les risques découlant d’une cybermenace importante. Lorsque cela est approprié, et en particulier lorsque la cybermenace importante est susceptible de se concrétiser, ces entités devraient également informer les destinataires de leurs services de la menace en question. L’obligation qui est faite aux entités d’informer les destinataires des cybermenaces importantes devrait être respectée par les entités dans toute la mesure du possible mais ne saurait les dispenser de l’obligation de prendre immédiatement, à leurs frais, les mesures appropriées pour prévenir ou remédier à toute menace pour la sécurité et pour rétablir le niveau normal de sécurité du service. La fourniture de telles informations aux destinataires du service au sujet des cybermenaces importantes devrait être gratuite et formulée dans un langage facile à comprendre.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente qui contrôle le respect de l'obligation d'information aux destinataires. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose cette exigence et permet a l'ILR d'exiger formellement, par instruction, qu'une entité essentielle ou importante informe ses clients d'une menacé spécifique. Le multilinguisme luxembourgeois (FR/DE/LU/EN/PT) renforce l'exigence d'intelligibilite : un avis uniquement en anglais a une clientele residente sera considéré comme non conforme.

Pratique Luxgap : préparer en amont des gabarits d'avis client multilingues (FR/DE/LU/EN/PT) valides par votre DPO et votre service juridique, pour pouvoir déclencher la communication en moins de 4 heures après qualification d'une menacé par le SOC.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 103 eclaire l'article 23 du NIS 2 sur un point souvent neglige : l'obligation d'informer les destinataires du service (clients, utilisateurs, patients, administres) des cybermenaces importantes et des mesures de mitigation a leur portee. L'ILR sanctionné typiquement deux derives : l'entité qui se contente de notifier le CSIRT sans prévenir ses clients exposes, et l'entité qui facture ces communications ou les redige dans un jargon technique inaccessible. Le considérant précisé que cette information doit être gratuite, sans retard injustifie et en langage facile a comprendre.

Les pièges en pratique

Confondre la notification d'incident au CSIRT (article 23(1)) avec l'information aux destinataires : ce sont deux obligations distinctes et cumulatives.
Négliger l'information sur les cybermenaces importantes qui ne se sont pas encore concretisees mais sont susceptibles de l'être (ex : campagne de phishing ciblee sur vos clients).
Renvoyer le client vers un portail technique payant ou conditionner l'information a un contrat de support : le considérant impose la gratuite.
Croire que l'obligation d'informer dispense de remédiation : elle est cumulative avec l'obligation de prendre immediatement les mesures techniques aux frais de l'entité.
Rédiger l'avis en anglais technique alors que la clientele est francophone, germanophone ou luxembourgeoise : le critère est l'intelligibilite par le destinataire, pas la commodite de l'emetteur.
Oublier de tracer la communication : sans preuve d'envoi horodatee, l'ILR considéré l'obligation comme non remplie.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Disclosure Orchestrator transforme l'obligation d'information aux destinataires en flux automatise, traçable et opposable. Des qu'une cybermenace importante est qualifiée dans votre SIEM (Microsoft Sentinel, Wazuh, CrowdStrike Falcon, Splunk), l'agent IA Luxgap redige automatiquement le message aux clients dans la langue de chaque destinataire, déclenche l'envoi multicanal et archive la preuve horodatee opposable a l'ILR.

Detecte les cybermenaces importantes en temps reel via connecteurs natifs Sentinel, Defender XDR, Wazuh et CrowdStrike, et déclenche le workflow d'information des leur qualification.
Genere automatiquement le message client en langage non technique grace a un agent LLM spécialisé, decline en FR, EN, DE et LU selon la langue contractuelle de chaque destinataire.
Diffuse l'avis simultanement par email transactionnel, SMS, bandeau in-app et page de statut publique, avec accuse de reception horodate par destinataire.
Calcule le délai entre qualification de la menacé et information du client, pour démontrer le respect du sans retard injustifie lors d'un contrôle ILR.
Produit un rapport PDF cryptographiquement scelle listant chaque destinataire informe, le canal utilise, l'horodatage et le contenu envoye, opposable a l'ILR et au CSIRT national.
Vérifié automatiquement que la communication est gratuite (pas de paywall, pas de login premium) via un crawler dedie sur vos canaux publics.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre stack SIEM reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 103

Ils nous font confiance

Avant de discuter