Je dois mettre mon organisation luxembourgeoise en conformité au considérant 106 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 106 acte une réalité opérationnelle brutale : un même incident déclenche souvent plusieurs notifications paralleles (ILR au titre de NIS 2, CNPD au titre du RGPD article 33, CSSF si l'entité est financiere, ANSSI ou autorité sectorielle). Les équipes IR perdent les premieres heures a se demander qui prévenir, dans quel format, avec quel délai, et finissent par rater le délai de 24h d'alerte précoce de l'article 23 NIS 2. L'ILR et la CNPD sanctionnent moins le fond de l'incident que le chaos déclaratif : notifications contradictoires, chronologies incoherentes entre autorités, qualifications divergentes du même événement.Ce que ce considérant change concretement pour vousLe considérant 106 n'est pas un voeu pieux : il oriente l'interprétation des articles 23 (notification d'incident) et 27 (informations a fournir). Concretement, il signifié que :Les états membres doivent offrir un point d'entree unique, mais en attendant sa generalisation, c'est a l'entité de construire son propre orchestrateur de notifications.Une notification soumise via le point d'entree unique vaut pour NIS 2, mais ne purge pas automatiquement vos obligations RGPD article 33 ou e-Privacy : la coexistence reste de votre responsabilité.Les modèles ENISA en cours d'élaboration (avec le groupe de cooperation) deviendront le standard de fait : utiliser un autre format exposé a un rejet ou a des questions complementaires de l'ILR.L'argument de la charge administrative ne peut pas être invoque comme excuse pour rater un délai : le considérant reconnait la complexité mais ne suspend aucune obligation.Comment Luxgap automatise ce risqueNotre Luxgap Incident Routing Hub transforme la cacophonie multi-autorites en une seule chronologie maitresse opposable. L'outil ingere l'alerte initiale (depuis Microsoft Sentinel, CrowdStrike Falcon, Defender XDR, Wazuh ou un ticket ServiceNow) et determine en moins de 60 secondes quelles autorités doivent être prevenues, sous quel délai, avec quel formulaire, en croisant la qualification de l'entité (essentielle/importante NIS 2, responsable de traitement RGPD, PSF CSSF) et la typologie d'incident.Detecte automatiquement les obligations déclaratives cumulatives (ILR, CNPD, CSSF, BCL, autorité sectorielle) declenchees par un même événement et genere un plan de notification synchronise.Prerempli les formulaires ENISA, CNPD et CSSF à partir des mêmes faits sources, garantissant une coherence parfaite des chronologies et qualifications entre autorités.Déclenche un compte a rebours visible des 24h d'alerte précoce, 72h de notification d'incident et 1 mois de rapport final exiges par l'article 23 NIS 2, avec alertes Teams et SMS aux dirigeants désignés.Genere un journal cryptographiquement scelle de toutes les communications avec les autorités, opposable lors d'une inspection ILR ou d'un contrôle CNPD croise.Met à jour automatiquement les modèles de notification des qu'ENISA ou l'ILR publient une nouvelle version des lign...

Considérant 106 NIS 2 — Considérant 106

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 106

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(106)

Afin de simplifier la communication des informations requises en vertu de la présente directive et de réduire la charge administrative pesant sur les entités, les États membres devraient fournir des moyens techniques, tels qu’un point d’entrée unique, des systèmes automatisés, des formulaires en ligne, des interfaces conviviales, des modèles et des plateformes dédiées à l’utilisation des entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, pour la communication des informations pertinentes à transmettre. Le financement de l’Union destiné à soutenir la mise en œuvre de la présente directive, en particulier dans le cadre du programme pour une Europe numérique, établi par le règlement (UE) 2021/694 du Parlement européen et du Conseil (21), pourrait inclure un soutien aux points d’entrée uniques. En outre, les entités se retrouvent souvent dans une situation dans laquelle un incident particulier, en raison de ses caractéristiques, doit être notifié à différentes autorités en raison d’obligations de notification figurant dans différents instruments juridiques. De tels cas créent une charge administrative supplémentaire et pourraient également conduire à des incertitudes en ce qui concerne le format et les procédures de ces notifications. Lorsqu’un point d’entrée unique est établi, les États membres sont encouragés à utiliser également ce point d’entrée unique pour les notifications d’incidents de sécurité requises en vertu d’autres dispositions du droit de l’Union, telles que le règlement (UE) 2016/679 et la directive 2002/58/CE. L’utilisation de ce point d’entrée unique pour la notification des incidents de sécurité au titre du règlement (UE) 2016/679 et de la directive 2002/58/CE ne devrait pas affecter l’application des dispositions du règlement (UE) 2016/679 et de la directive 2002/58/CE, en particulier celles relatives à l’indépendance des autorités qui y sont visées. L’ENISA, en collaboration avec le groupe de coopération, devrait mettre au point des formulaires de notification communs au moyen de lignes directrices pour simplifier et rationaliser les informations à transmettre en vertu du droit de l’Union et réduire la charge administrative pesant sur les entités qui effectuent la notification.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est le point d'entree unique pour les notifications d'incidents NIS 2 via sa plateforme dediee, mais la CNPD conserve son propre canal pour les violations de données personnelles au titre du RGPD article 33, et la CSSF impose sa circulaire 24/847 pour les PSF et établissements de crédit. La loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confirme que la notification a l'ILR ne purge pas les obligations déclaratives sectorielles : un même incident dans une banque luxembourgeoise peut donc déclencher trois notifications paralleles distinctes.

Pratique Luxgap : pour les entités duales (NIS 2 + CSSF), nous pre-cablons l'orchestrateur sur les trois formulaires officiels (ILR, CNPD form_breach, CSSF eDesk) et garantissons une chronologie unique opposable lors d'un contrôle croise.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 106 acte une réalité opérationnelle brutale : un même incident déclenche souvent plusieurs notifications paralleles (ILR au titre de NIS 2, CNPD au titre du RGPD article 33, CSSF si l'entité est financiere, ANSSI ou autorité sectorielle). Les équipes IR perdent les premieres heures a se demander qui prévenir, dans quel format, avec quel délai, et finissent par rater le délai de 24h d'alerte précoce de l'article 23 NIS 2. L'ILR et la CNPD sanctionnent moins le fond de l'incident que le chaos déclaratif : notifications contradictoires, chronologies incoherentes entre autorités, qualifications divergentes du même événement.

Ce que ce considérant change concretement pour vous

Le considérant 106 n'est pas un voeu pieux : il oriente l'interprétation des articles 23 (notification d'incident) et 27 (informations a fournir). Concretement, il signifié que :

Les états membres doivent offrir un point d'entree unique, mais en attendant sa generalisation, c'est a l'entité de construire son propre orchestrateur de notifications.
Une notification soumise via le point d'entree unique vaut pour NIS 2, mais ne purge pas automatiquement vos obligations RGPD article 33 ou e-Privacy : la coexistence reste de votre responsabilité.
Les modèles ENISA en cours d'élaboration (avec le groupe de cooperation) deviendront le standard de fait : utiliser un autre format exposé a un rejet ou a des questions complementaires de l'ILR.
L'argument de la charge administrative ne peut pas être invoque comme excuse pour rater un délai : le considérant reconnait la complexité mais ne suspend aucune obligation.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Routing Hub transforme la cacophonie multi-autorites en une seule chronologie maitresse opposable. L'outil ingere l'alerte initiale (depuis Microsoft Sentinel, CrowdStrike Falcon, Defender XDR, Wazuh ou un ticket ServiceNow) et determine en moins de 60 secondes quelles autorités doivent être prevenues, sous quel délai, avec quel formulaire, en croisant la qualification de l'entité (essentielle/importante NIS 2, responsable de traitement RGPD, PSF CSSF) et la typologie d'incident.

Detecte automatiquement les obligations déclaratives cumulatives (ILR, CNPD, CSSF, BCL, autorité sectorielle) declenchees par un même événement et genere un plan de notification synchronise.
Prerempli les formulaires ENISA, CNPD et CSSF à partir des mêmes faits sources, garantissant une coherence parfaite des chronologies et qualifications entre autorités.
Déclenche un compte a rebours visible des 24h d'alerte précoce, 72h de notification d'incident et 1 mois de rapport final exiges par l'article 23 NIS 2, avec alertes Teams et SMS aux dirigeants désignés.
Genere un journal cryptographiquement scelle de toutes les communications avec les autorités, opposable lors d'une inspection ILR ou d'un contrôle CNPD croise.
Met à jour automatiquement les modèles de notification des qu'ENISA ou l'ILR publient une nouvelle version des lignes directrices, sans intervention manuelle de votre RSSI.
Produit après cloture un rapport post-incident multi-autorites unique, demontrant l'efficacite de votre dispositif de gouvernance article 20.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes simulent un incident reel sur votre stack, avec un audit blanc gratuit sous 48h pour mesurer votre capacite a tenir les délais NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 106

Ils nous font confiance

Avant de discuter