Je dois mettre mon organisation luxembourgeoise en conformité au considérant 109 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 109 fonde l'obligation légale (article 6(1)(c) RGPD) qui permet aux registres TLD et bureaux d'enregistrement de collecter les données WHOIS sans consentement. En pratique, l'ILR et l'ENISA sanctionnent deux derives : des bases WHOIS incompletes ou obsoletes (titulaires fantomes, emails invalides, données jamais reverifiees) et a l'inverse, une sur-collecte qui depasse le strict nécessaire fixe par l'article 28 NIS 2. Le piège est de croire que ce considérant autorise tout : il borne la finalité a la sécurité et a la stabilite du DNS, rien d'autre.Comment articuler obligation NIS 2 et minimisation RGPDBase légale unique pour WHOIS : article 6(1)(c) RGPD, fondee sur l'article 28 NIS 2. Pas de consentement, pas d'intérêt légitime a invoquer.Finalité verrouillee : sécurité, stabilite, résilience du DNS et accès licite par les demandeurs légitimes (CSIRT, autorités, ayants droit). Toute autre finalité (marketing, profilage, revente) nécessité une base distincte.Données minimales : nom du titulaire, email de contact, numéro de téléphone, identifiants techniques. Pas d'adresse postale complète pour les personnes physiques si elle n'est pas strictement nécessaire.Eviter la duplication : si le registre TLD collecte deja la donnée, le bureau d'enregistrement ne doit pas la redemander. Mettre en place un schema de partagé entre registre et registrar.Vérification active : reverifier l'exactitude des données a intervalles réguliers (au moins annuellement) et lors de chaque modification.Accès licite documente : tenir un journal de chaque demande d'accès, qui demande, sur quelle base juridique, quelle réponse a ete fournie, dans quel délai.Comment Luxgap automatise ce risqueNotre Luxgap WHOIS Integrity Sentinel transforme l'obligation WHOIS en preuve opposable d'exactitude permanente, sans transformer votre équipe en saisisseurs de formulaires. L'outil se connecte directement a votre back-office de registrar (CentralNic, OpenSRS, Gandi, EuroDNS) et a votre infrastructure DNS (PowerDNS, BIND, Route 53) pour reconcilier en temps reel les données declarees et les données techniques observees, et detecte chaque divergence en moins de 5 minutes.Detecte automatiquement les emails de contact invalides via vérification SMTP non intrusive, sans envoyer de mail visible au titulaire.Classifie chaque enregistrement selon le risque NIS 2 (titulaire entité essentielle, importante, particulier, anonymisation par proxy) pour prioriser les reverifications.Genere les courriers de reverification annuelle bilingues FR/EN/DE pre-remplis, conformes a l'article 28 NIS 2 et a l'article 14 RGPD.Trace chaque demande d'accès licite (CSIRT, autorité judiciaire, ayant droit IP) avec horodatage, base juridique invoquee et réponse fournie, dans un registre cryptographiquement scelle.Alerte instantanement via Teams ou Slack lors d'une suspicion d'enregistrement frauduleux (titulaire en zone sanctionnée, email jetable, paiement carte bancaire prepayee).Prod...

Considérant 109 NIS 2 — Considérant 109

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 109

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(109)

Le maintien à jour des bases de données précises et complètes de données d’enregistrement de noms de domaine (données WHOIS) ainsi que la fourniture d’un accès licite à ces données sont essentiels pour garantir la sécurité, la stabilité et la résilience du DNS, lequel contribue en retour à assurer un niveau élevé commun de cybersécurité dans l’Union. À cette fin spécifique, les registres de noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient être tenus de traiter certaines données nécessaires à cette fin. Un tel traitement devrait constituer une obligation légale au sens de l’article 6, paragraphe 1, point c), du règlement (UE) 2016/679. Cette obligation est sans préjudice de la possibilité de collecter des données relatives à l’enregistrement de noms de domaine à d’autres fins, par exemple sur la base de dispositions contractuelles ou d’exigences légales établies dans d’autres dispositions du droit de l’Union ou du droit national. Cette obligation vise à obtenir un ensemble complet et précis de données d’enregistrement et ne devrait pas aboutir à recueillir les mêmes données à de multiples reprises. Les registres des noms de domaine de premier niveau et les entités fournissant des services d’enregistrement de noms de domaine devraient coopérer entre eux afin d’éviter la duplication de cette tâche.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) désigné l'ILR comme autorité competente pour superviser les registres TLD et entités fournissant des services d'enregistrement de noms de domaine établis au Luxembourg, ce qui inclut notamment l'operateur du registre .lu (Restena). L'ILR peut auditer la qualité des bases WHOIS et imposer des mesures correctives sous astreinte journaliere.

Pratique Luxgap : si vous gerez ou revendez des noms de domaine .lu ou des gTLD depuis le Luxembourg, documentez votre schema de cooperation avec Restena pour eviter la duplication article 28 NIS 2, et tenez un registre des accès licites accordes aux CSIRT national (GOVCERT.LU) et aux autorités judiciaires.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 109 fonde l'obligation légale (article 6(1)(c) RGPD) qui permet aux registres TLD et bureaux d'enregistrement de collecter les données WHOIS sans consentement. En pratique, l'ILR et l'ENISA sanctionnent deux derives : des bases WHOIS incompletes ou obsoletes (titulaires fantomes, emails invalides, données jamais reverifiees) et a l'inverse, une sur-collecte qui depasse le strict nécessaire fixe par l'article 28 NIS 2. Le piège est de croire que ce considérant autorise tout : il borne la finalité a la sécurité et a la stabilite du DNS, rien d'autre.

Comment articuler obligation NIS 2 et minimisation RGPD

Base légale unique pour WHOIS : article 6(1)(c) RGPD, fondee sur l'article 28 NIS 2. Pas de consentement, pas d'intérêt légitime a invoquer.
Finalité verrouillee : sécurité, stabilite, résilience du DNS et accès licite par les demandeurs légitimes (CSIRT, autorités, ayants droit). Toute autre finalité (marketing, profilage, revente) nécessité une base distincte.
Données minimales : nom du titulaire, email de contact, numéro de téléphone, identifiants techniques. Pas d'adresse postale complète pour les personnes physiques si elle n'est pas strictement nécessaire.
Eviter la duplication : si le registre TLD collecte deja la donnée, le bureau d'enregistrement ne doit pas la redemander. Mettre en place un schema de partagé entre registre et registrar.
Vérification active : reverifier l'exactitude des données a intervalles réguliers (au moins annuellement) et lors de chaque modification.
Accès licite documente : tenir un journal de chaque demande d'accès, qui demande, sur quelle base juridique, quelle réponse a ete fournie, dans quel délai.

Comment Luxgap automatise ce risque

Notre Luxgap WHOIS Integrity Sentinel transforme l'obligation WHOIS en preuve opposable d'exactitude permanente, sans transformer votre équipe en saisisseurs de formulaires. L'outil se connecte directement a votre back-office de registrar (CentralNic, OpenSRS, Gandi, EuroDNS) et a votre infrastructure DNS (PowerDNS, BIND, Route 53) pour reconcilier en temps reel les données declarees et les données techniques observees, et detecte chaque divergence en moins de 5 minutes.

Detecte automatiquement les emails de contact invalides via vérification SMTP non intrusive, sans envoyer de mail visible au titulaire.
Classifie chaque enregistrement selon le risque NIS 2 (titulaire entité essentielle, importante, particulier, anonymisation par proxy) pour prioriser les reverifications.
Genere les courriers de reverification annuelle bilingues FR/EN/DE pre-remplis, conformes a l'article 28 NIS 2 et a l'article 14 RGPD.
Trace chaque demande d'accès licite (CSIRT, autorité judiciaire, ayant droit IP) avec horodatage, base juridique invoquee et réponse fournie, dans un registre cryptographiquement scelle.
Alerte instantanement via Teams ou Slack lors d'une suspicion d'enregistrement frauduleux (titulaire en zone sanctionnée, email jetable, paiement carte bancaire prepayee).
Produit un rapport PDF horodate opposable a l'ILR demontrant la conformité article 28 NIS 2 et l'absence de duplication avec le registre TLD.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre portefeuille de noms de domaine reel, avec un scan gratuit sous 48h pour mesurer le taux de données WHOIS obsoletes avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 109

Ils nous font confiance

Avant de discuter