Je dois mettre mon organisation luxembourgeoise en conformité au considérant 104 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 104 cible les operateurs telecoms et FAI (Proximus, POST, Orange, Tango, Eltrona et leurs equivalents B2B). L'ILR sanctionné deux defaillances récurrentes : l'absence de security by design sur les équipements CPE (routeurs, box, ONT) livres aux abonnes avec mots de passe par defaut ou firmware obsolete, et l'absence d'information proactive des abonnes lors d'une campagne de phishing massive ou d'une vulnerabilite critique exploitee (type compromission de routeurs domestiques). L'argument 'on n'a pas voulu inquiéter les clients' n'est plus recevable depuis NIS 2.Ce que ce considérant ajoute aux articles 21 et 23Le considérant 104 eclaire trois obligations opérationnelles pour les fournisseurs de communications électroniques :Security by design : les CPE distribues doivent être configures de manière sécurisée a la livraison (pas de mot de passe admin par defaut, WPA2/WPA3 obligatoire, ports management fermes cote WAN, firmware signe).Security by default : les options les plus protectrices sont activees sans intervention de l'abonne (DNS filtrant optionnel mais propose, segmentation IoT, mise à jour automatique du firmware).Information proactive : alerter les abonnes sur les cybermenaces significatives qui les concernent (campagnes de smishing exploitant le nom de l'operateur, compromission d'un modèle de routeur, fuite d'identifiants reutilises) et recommander des mesures concretes (chiffrement de bout en bout, gestionnaires de mots de passe, MFA sur l'espace client).Le standard de fait est defini par l'ENISA (Guideline on Security Measures under the EECC) et BEREC. L'ILR s'appuie explicitement sur ces référentiels lors de ses inspections.Comment Luxgap automatise ce risqueNotre Luxgap Subscriber Threat Broadcaster transforme l'obligation d'information des abonnes en canal automatise, mesurable et opposable a l'ILR. L'outil correle en temps reel les flux CERT.LU, ENISA, CISA KEV, HaveIBeenPwned et vos logs SOC (Sentinel, Wazuh, Splunk) pour détecter les menacés qui concernent spécifiquement votre parc d'abonnes et votre flotte de CPE, puis déclenche la communication ciblee sans demander au RSSI de rédiger un mail a chaque incident.Detecte automatiquement les CVE critiques affectant les modèles de routeurs/ONT presents dans votre parc, en croisant l'inventaire CPE avec les bulletins CERT.LU et NVD.Identifié les abonnes exposes (par segment, par modèle, par version firmware) et genere la liste de diffusion ciblee, sans broadcast inutile au reste du parc.Redige automatiquement le message d'alerte multilingue (FR/EN/DE/LU) avec mesures concretes recommandees, valide par un agent LLM spécialisé conformité ENISA.Publie l'alerte sur les canaux multicanaux (SMS, espace client, app mobile, courrier postal pour les abonnes vulnerables) et trace chaque envoi avec accuse de reception.Scanne en continu le respect du security by default sur les CPE provisionnes (mots de passe par defaut residuels, firmware obsolete, ports mana...

Considérant 104 NIS 2 — Considérant 104

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 104

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(104)

Il convient que les fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public mettent en œuvre la sécurité dès la conception et par défaut, et informent les destinataires de leurs services des cybermenaces importantes et des mesures qu’ils peuvent prendre pour sécuriser leurs appareils et communications, par exemple en recourant à des types spécifiques de logiciels ou de techniques de chiffrement.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente pour les fournisseurs de réseaux et services de communications électroniques, au titre de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) et du Code des communications électroniques. Les operateurs comme POST Luxembourg, Proximus Luxembourg, Orange Luxembourg, Tango et Eltrona sont qualifiés d'entités essentielles et doivent démontrer la mise en œuvre du security by design and by default ainsi que l'information proactive de leurs abonnes lors d'incidents significatifs. Le CERT.LU centralise les bulletins de menacés que ces operateurs doivent relayer.

Pratique Luxgap : nous integrons par defaut le flux CERT.LU dans le Luxgap Subscriber Threat Broadcaster et alignons les modèles de communication abonnes sur les attendus ILR et les recommandations ENISA traduites dans le contexte luxembourgeois multilingue (FR/DE/EN/LU).

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 104 cible les operateurs telecoms et FAI (Proximus, POST, Orange, Tango, Eltrona et leurs equivalents B2B). L'ILR sanctionné deux defaillances récurrentes : l'absence de security by design sur les équipements CPE (routeurs, box, ONT) livres aux abonnes avec mots de passe par defaut ou firmware obsolete, et l'absence d'information proactive des abonnes lors d'une campagne de phishing massive ou d'une vulnerabilite critique exploitee (type compromission de routeurs domestiques). L'argument 'on n'a pas voulu inquiéter les clients' n'est plus recevable depuis NIS 2.

Ce que ce considérant ajoute aux articles 21 et 23

Le considérant 104 eclaire trois obligations opérationnelles pour les fournisseurs de communications électroniques :

Security by design : les CPE distribues doivent être configures de manière sécurisée a la livraison (pas de mot de passe admin par defaut, WPA2/WPA3 obligatoire, ports management fermes cote WAN, firmware signe).
Security by default : les options les plus protectrices sont activees sans intervention de l'abonne (DNS filtrant optionnel mais propose, segmentation IoT, mise à jour automatique du firmware).
Information proactive : alerter les abonnes sur les cybermenaces significatives qui les concernent (campagnes de smishing exploitant le nom de l'operateur, compromission d'un modèle de routeur, fuite d'identifiants reutilises) et recommander des mesures concretes (chiffrement de bout en bout, gestionnaires de mots de passe, MFA sur l'espace client).

Le standard de fait est defini par l'ENISA (Guideline on Security Measures under the EECC) et BEREC. L'ILR s'appuie explicitement sur ces référentiels lors de ses inspections.

Comment Luxgap automatise ce risque

Notre Luxgap Subscriber Threat Broadcaster transforme l'obligation d'information des abonnes en canal automatise, mesurable et opposable a l'ILR. L'outil correle en temps reel les flux CERT.LU, ENISA, CISA KEV, HaveIBeenPwned et vos logs SOC (Sentinel, Wazuh, Splunk) pour détecter les menacés qui concernent spécifiquement votre parc d'abonnes et votre flotte de CPE, puis déclenche la communication ciblee sans demander au RSSI de rédiger un mail a chaque incident.

Detecte automatiquement les CVE critiques affectant les modèles de routeurs/ONT presents dans votre parc, en croisant l'inventaire CPE avec les bulletins CERT.LU et NVD.
Identifié les abonnes exposes (par segment, par modèle, par version firmware) et genere la liste de diffusion ciblee, sans broadcast inutile au reste du parc.
Redige automatiquement le message d'alerte multilingue (FR/EN/DE/LU) avec mesures concretes recommandees, valide par un agent LLM spécialisé conformité ENISA.
Publie l'alerte sur les canaux multicanaux (SMS, espace client, app mobile, courrier postal pour les abonnes vulnerables) et trace chaque envoi avec accuse de reception.
Scanne en continu le respect du security by default sur les CPE provisionnes (mots de passe par defaut residuels, firmware obsolete, ports management ouverts) via probes SNMP/TR-069.
Produit un rapport trimestriel horodate, cryptographiquement scelle, opposable a l'ILR demontrant l'exécution de l'obligation d'information et de security by design.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre parc CPE reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 104

Ils nous font confiance

Avant de discuter