Je dois mettre mon organisation luxembourgeoise en conformité au considérant 108 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 108 NIS 2 — Considérant 108

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 108

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(108)

Dans de nombreux cas, des données à caractère personnel sont compromises à la suite d’incidents. Dans de telles circonstances, les autorités compétentes devraient coopérer et échanger des informations sur tous les aspects pertinents avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR la reception des notifications d'incident NIS 2, tandis que la CNPD reste competente pour les violations de données article 33 RGPD. Les deux autorités ont formalise des canaux d'échange d'informations, ce qui rend toute divergence narrative immediatement detectable lors d'un contrôle.

Pratique Luxgap : preparez un playbook de notification unique qui déclenche en parallele les formulaires ILR et CNPD avec un recit factuel partagé, et tracez l'ensemble dans un registre d'incidents horodate opposable aux deux autorités.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Un incident NIS 2 est presque toujours aussi une violation de données au sens RGPD. L'erreur classique consiste a notifier l'ILR sous 24h en oubliant la CNPD, ou inversement, avec des recits divergents entre les deux dossiers. Les autorités se parlent, et toute incohérence factuelle entre la notification ILR et la notification CNPD article 33 devient un facteur aggravant lors de la qualification de la sanction.

La double qualification : ce que ce considérant exige en pratique

Tout incident significatif NIS 2 doit être evalue simultanement au regard de l'article 4(12) RGPD : y a-t-il compromission de confidentialité, intégrité ou disponibilite de données personnelles ?
Les délais ne sont pas alignes : ILR demande une alerte précoce sous 24h et un rapport sous 72h, la CNPD demande une notification sous 72h, l'ANC sous 24h pour les communications électroniques (directive 2002/58/CE).
Le recit factuel (timeline, périmètre, IOC, mesures) doit être strictement identique dans les deux dossiers, car les autorités echangent ces informations.
La communication aux personnes concernees (article 34 RGPD) suit une logique propre et ne se confond pas avec l'information du public NIS 2.
Documenter la double qualification dans le registre des incidents : même un incident ecarte cote RGPD doit montrer le raisonnement de qualification.

Comment Luxgap automatise ce risque

Notre Luxgap Incident Dual-Track Orchestrator elimine le risque de notifications divergentes entre l'ILR et la CNPD en orchestrant un recit unique, qualifié automatiquement sous les deux regimes, et expedie aux deux autorités avec les bons délais et formats. Des qu'un incident est declare dans Microsoft Sentinel, Defender XDR, CrowdStrike Falcon ou Wazuh, l'agent IA analyse les artefacts (logs, périmètrès techniques, types de données touchees) et produit une qualification croisee NIS 2 / RGPD / ePrivacy en moins de 5 minutes.

Detecte automatiquement la compromission de données personnelles en croisant les systèmes impactes avec votre registre des traitements article 30.
Calcule en parallele les obligations ILR (alerte précoce 24h, rapport intermédiaire 72h, rapport final 1 mois) et CNPD (notification 72h, communication aux personnes).
Genere les deux dossiers de notification avec un recit factuel strictement coherent, horodate et trace pour démontrer l'échange d'informations entre autorités.
Alerte le DPO, le CISO et la direction via Teams ou Slack avec le compteur des délais légaux en temps reel.
Produit un rapport PDF cryptographiquement scelle, opposable lors d'un contrôle conjoint ILR-CNPD, qui démontré la coherence des déclarations.
Archive l'ensemble dans un coffre-fort horodate (90 jours minimum) pour répondre aux demandes complementaires des autorités.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent une simulation d'incident sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 108

Ils nous font confiance

Avant de discuter