Je dois mettre mon organisation luxembourgeoise en conformité au considérant 107 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 107 invite a notifier les autorités repressives (Police judiciaire, Parquet, et au niveau européen le CE3 d'Europol) lorsqu'un incident NIS 2 révélé une infraction pénale grave : rancongiciel, intrusion sponsorisee par un état, fraude massive, extorsion. En pratique, les entités essentielles et importantes notifient l'ILR dans les délais NIS 2 (alerte précoce 24h, notification 72h) mais oublient de deposer plainte pénale, ce qui ferme la porté a toute cooperation Europol, perd les preuves volatiles et empeche la qualification d'acte de cyberguerre. L'ILR ne se substitue pas au Parquet : la double notification est attendue.Le double circuit de notification a maîtriserCircuit administratif NIS 2 : notification a l'ILR via le portail dedie (alerte précoce 24h, notification 72h, rapport final 1 mois).Circuit pénal : plainte au Parquet de Luxembourg ou signalement direct a la Police judiciaire (Section Nouvelles Technologies, SPJ-NTECH) pour les infractions des articles 509-1 a 509-7 du Code pénal (accès frauduleux, sabotage informatique, interception).Circuit européen : pour les incidents transfrontaliers, le CE3 d'Europol coordonne via le canal SIENA, déclenche au Luxembourg par la Police judiciaire.Preservation des preuves : images forensiques chainees, logs scelles, horodatage qualifié eIDAS avant toute remédiation, sinon le dossier pénal s'effondre.Articulation RGPD : si l'incident touche des données personnelles, ajoutez une notification CNPD (72h art. 33). Trois autorités, trois délais, trois formats.Comment Luxgap automatise ce risqueNotre Luxgap Incident Triage Orchestrator transforme la sidération des 24 premieres heures en une chaîne de notification multi-autorites parfaitement coordonnee. Des qu'un signal critique remonte de votre SIEM (Microsoft Sentinel, Wazuh, CrowdStrike Falcon, Splunk), un agent LLM spécialisé qualifié l'incident en temps reel selon trois grilles paralleles : NIS 2 (criticite ILR), Code pénal luxembourgeois (articles 509-1 a 509-7), RGPD (article 33), et déclenche les bons circuits sans attendre une décision humaine paralysee.Classifie automatiquement chaque incident sur la grille triple ILR / Parquet / CNPD en moins de 5 minutes après le premier signal SIEM.Genere les trois notifications pre-remplies : formulaire ILR au format NIS 2, plainte pénale structuree pour le Parquet de Luxembourg, notification CNPD article 33.Déclenche la preservation forensique automatique : snapshot Azure / AWS, export des logs Sentinel scelles avec horodatage eIDAS qualifié LuxTrust, chaîne de custody documentee.Pre-qualifie l'eligibilite Europol CE3 (transfrontalier, acteur étatique suspecte, infrastructure critique) et prepare le brief SIENA pour la SPJ-NTECH.Pilote le compte a rebours des trois délais (24h, 72h, 1 mois) avec alertes Teams escaladees vers le COMEX a J-6h.Produit un dossier PDF horodate opposable, demontrant la diligence multi-autorites en cas de contrôle ILR ou de procédure pénale ult...

Considérant 107 NIS 2 — Considérant 107

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 107

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(107)

Lorsqu’il y a lieu de suspecter qu’un incident est lié à des activités criminelles graves au regard du droit de l’Union ou du droit national, les États membres devraient encourager les entités essentielles et importantes, sur la base de leurs procédures pénales applicables conformément au droit de l’Union, à notifier aux autorités répressives compétentes tout incident de ce type. Le cas échéant, et sans préjudice des règles de protection des données à caractère personnel applicables à Europol, il est souhaitable que la coordination entre les autorités compétentes et les autorités répressives de différents États membres soit facilitée par le Centre européen de lutte contre la cybercriminalité (CE3) et l’ENISA.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la notification pénale des incidents cyber graves passe par le Parquet de Luxembourg ou directement par la Section Nouvelles Technologies de la Police Judiciaire (SPJ-NTECH), sur le fondement des articles 509-1 a 509-7 du Code pénal (accès frauduleux, sabotage informatique, interception). La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, confirme que la notification a l'ILR ne dispense pas du depot de plainte pénale, et le CERT gouvernemental GOVCERT.LU peut être saisi en appui forensique pour les entités essentielles.

Pratique Luxgap : etablissez une convention préalable avec le SPJ-NTECH et GOVCERT.LU pour disposer d'un canal direct activable en moins de 2h, indispensable pour préserver les logs volatiles avant remédiation.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 107 invite a notifier les autorités repressives (Police judiciaire, Parquet, et au niveau européen le CE3 d'Europol) lorsqu'un incident NIS 2 révélé une infraction pénale grave : rancongiciel, intrusion sponsorisee par un état, fraude massive, extorsion. En pratique, les entités essentielles et importantes notifient l'ILR dans les délais NIS 2 (alerte précoce 24h, notification 72h) mais oublient de deposer plainte pénale, ce qui ferme la porté a toute cooperation Europol, perd les preuves volatiles et empeche la qualification d'acte de cyberguerre. L'ILR ne se substitue pas au Parquet : la double notification est attendue.

Le double circuit de notification a maîtriser

Circuit administratif NIS 2 : notification a l'ILR via le portail dedie (alerte précoce 24h, notification 72h, rapport final 1 mois).
Circuit pénal : plainte au Parquet de Luxembourg ou signalement direct a la Police judiciaire (Section Nouvelles Technologies, SPJ-NTECH) pour les infractions des articles 509-1 a 509-7 du Code pénal (accès frauduleux, sabotage informatique, interception).
Circuit européen : pour les incidents transfrontaliers, le CE3 d'Europol coordonne via le canal SIENA, déclenche au Luxembourg par la Police judiciaire.
Preservation des preuves : images forensiques chainees, logs scelles, horodatage qualifié eIDAS avant toute remédiation, sinon le dossier pénal s'effondre.
Articulation RGPD : si l'incident touche des données personnelles, ajoutez une notification CNPD (72h art. 33). Trois autorités, trois délais, trois formats.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Triage Orchestrator transforme la sidération des 24 premieres heures en une chaîne de notification multi-autorites parfaitement coordonnee. Des qu'un signal critique remonte de votre SIEM (Microsoft Sentinel, Wazuh, CrowdStrike Falcon, Splunk), un agent LLM spécialisé qualifié l'incident en temps reel selon trois grilles paralleles : NIS 2 (criticite ILR), Code pénal luxembourgeois (articles 509-1 a 509-7), RGPD (article 33), et déclenche les bons circuits sans attendre une décision humaine paralysee.

Classifie automatiquement chaque incident sur la grille triple ILR / Parquet / CNPD en moins de 5 minutes après le premier signal SIEM.
Genere les trois notifications pre-remplies : formulaire ILR au format NIS 2, plainte pénale structuree pour le Parquet de Luxembourg, notification CNPD article 33.
Déclenche la preservation forensique automatique : snapshot Azure / AWS, export des logs Sentinel scelles avec horodatage eIDAS qualifié LuxTrust, chaîne de custody documentee.
Pre-qualifie l'eligibilite Europol CE3 (transfrontalier, acteur étatique suspecte, infrastructure critique) et prepare le brief SIENA pour la SPJ-NTECH.
Pilote le compte a rebours des trois délais (24h, 72h, 1 mois) avec alertes Teams escaladees vers le COMEX a J-6h.
Produit un dossier PDF horodate opposable, demontrant la diligence multi-autorites en cas de contrôle ILR ou de procédure pénale ultérieure.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes simulent un incident reel sur vos systèmes connectes, avec un audit blanc gratuit sous 48h pour mesurer la maturite de votre chaîne de notification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 107

Ils nous font confiance

Avant de discuter