Je dois mettre mon organisation luxembourgeoise en conformité au considérant 11 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 11 cree une zone grise redoutable : les prestataires de services de confiance (signature électronique qualifiée, horodatage, cachet, certificats SSL/TLS qualifiés eIDAS) basculent intégralement sous NIS 2, même s'ils exercaient deja sous eIDAS. L'ILR sanctionné en pratique les trust service providers qui croient encore relever uniquement du règlement 910/2014 et qui n'ont pas mis a niveau leur gouvernance cybersécurité (analyse de risque NIS 2, notification d'incident sous 24h, mesures techniques de l'article 21). A l'inverse, certaines entités etendent abusivement l'exclusion des systèmes fermes a des services commerciaux ouverts au public, ce qui est requalifie en manquement.Le test du système ferme : ne vous trompez pas de qualificationLe considérant 11 exclut uniquement les services de confiance utilises exclusivement dans des systèmes fermes resultant du droit national ou d'accords entre un ensemble defini de participants. Le test est cumulatif et restrictif :L'usage doit être exclusif au cercle ferme : un seul usage externe casse l'exclusion.Le périmètre des participants doit être defini contractuellement ou par texte (consortium bancaire interne, réseau ministeriel, plateforme interbancaire dediee).L'accord doit preexister a la fourniture du service, pas être reconstruit a posteriori.Toute extension a un tiers (nouvelle filiale, partenaire ad hoc, sous-traitant) doit déclencher une re-qualification immediate.Pour les activités de sécurité nationale, défense ou application de la loi, l'exclusion ne couvre que la dimension regalienne ; des qu'une entité mixte fournit en parallele des services de confiance commerciaux, ces services tombent dans NIS 2 sans exception.Comment Luxgap automatise ce risqueNotre Luxgap Trust Scope Classifier elimine l'ambiguite de qualification entre eIDAS pur, NIS 2 et exclusion système ferme en produisant une qualification opposable a l'ILR. L'outil cartographie l'ensemble de vos services de confiance (PKI interne, certificats qualifiés, horodatage, signature, cachet) en se connectant a votre annuaire Active Directory, vos consoles HSM (Thales, Utimaco), vos AC publiques (LuxTrust, Sectigo, DigiCert) et vos contrats Odoo / DocuWare pour identifier chaque flux d'usage reel.Detecte automatiquement chaque service de confiance emis ou consomme et le rattache a une base juridique (eIDAS qualifié, eIDAS non qualifié, exclusion système ferme NIS 2).Applique le test cumulatif du considérant 11 : vérifié l'exclusivite d'usage, l'existence d'un accord préalable et la stabilite du cercle des participants.Alerte en temps reel via Teams ou Slack des qu'un nouveau participant rejoint un système ferme, declenchant la re-qualification NIS 2 du service concerne.Genere les déclarations d'enregistrement auprès de l'ILR avec le bon périmètre (entité essentielle NIS 2 + prestataire de services de confiance qualifié eIDAS).Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'...

Considérant 11 NIS 2 — Considérant 11

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 11

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(11)

Certaines entités exercent des activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection d’infractions pénales, ainsi que les enquêtes et les poursuites en la matière, tout en fournissant également des services de confiance. Les prestataires de services de confiance qui relèvent du champ d’application du règlement (UE) no 910/2014 du Parlement européen et du Conseil (6) devraient relever du champ d’application de la présente directive afin d’assurer le même niveau d’exigences de sécurité et de contrôle que celui qui était précédemment prévu dans ledit règlement à l’égard des prestataires de services de confiance. Dans le droit fil de l’exclusion de certains services spécifiques du règlement (UE) no 910/2014, la présente directive ne devrait pas s’appliquer à la fourniture de services de confiance utilisés exclusivement dans des systèmes fermés résultant du droit national ou d’accords au sein d’un ensemble défini de participants.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est désigné par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) comme autorité competente NIS 2 pour les prestataires de services de confiance, en coordination avec l'ILNAS qui reste l'autorité de supervision eIDAS. Cette dualité impose une double notification en cas d'incident : ILR sous 24h pour le volet NIS 2, ILNAS pour le volet eIDAS.

Pratique Luxgap : nous configurons un workflow de notification dedouble (ILR + ILNAS) avec accuse de reception horodate, pour eviter le piège classique de la notification a une seule autorité qui déclenche la sanction de l'autre.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 11 cree une zone grise redoutable : les prestataires de services de confiance (signature électronique qualifiée, horodatage, cachet, certificats SSL/TLS qualifiés eIDAS) basculent intégralement sous NIS 2, même s'ils exercaient deja sous eIDAS. L'ILR sanctionné en pratique les trust service providers qui croient encore relever uniquement du règlement 910/2014 et qui n'ont pas mis a niveau leur gouvernance cybersécurité (analyse de risque NIS 2, notification d'incident sous 24h, mesures techniques de l'article 21). A l'inverse, certaines entités etendent abusivement l'exclusion des systèmes fermes a des services commerciaux ouverts au public, ce qui est requalifie en manquement.

Le test du système ferme : ne vous trompez pas de qualification

Le considérant 11 exclut uniquement les services de confiance utilises exclusivement dans des systèmes fermes resultant du droit national ou d'accords entre un ensemble defini de participants. Le test est cumulatif et restrictif :

L'usage doit être exclusif au cercle ferme : un seul usage externe casse l'exclusion.
Le périmètre des participants doit être defini contractuellement ou par texte (consortium bancaire interne, réseau ministeriel, plateforme interbancaire dediee).
L'accord doit preexister a la fourniture du service, pas être reconstruit a posteriori.
Toute extension a un tiers (nouvelle filiale, partenaire ad hoc, sous-traitant) doit déclencher une re-qualification immediate.

Pour les activités de sécurité nationale, défense ou application de la loi, l'exclusion ne couvre que la dimension regalienne ; des qu'une entité mixte fournit en parallele des services de confiance commerciaux, ces services tombent dans NIS 2 sans exception.

Comment Luxgap automatise ce risque

Notre Luxgap Trust Scope Classifier elimine l'ambiguite de qualification entre eIDAS pur, NIS 2 et exclusion système ferme en produisant une qualification opposable a l'ILR. L'outil cartographie l'ensemble de vos services de confiance (PKI interne, certificats qualifiés, horodatage, signature, cachet) en se connectant a votre annuaire Active Directory, vos consoles HSM (Thales, Utimaco), vos AC publiques (LuxTrust, Sectigo, DigiCert) et vos contrats Odoo / DocuWare pour identifier chaque flux d'usage reel.

Detecte automatiquement chaque service de confiance emis ou consomme et le rattache a une base juridique (eIDAS qualifié, eIDAS non qualifié, exclusion système ferme NIS 2).
Applique le test cumulatif du considérant 11 : vérifié l'exclusivite d'usage, l'existence d'un accord préalable et la stabilite du cercle des participants.
Alerte en temps reel via Teams ou Slack des qu'un nouveau participant rejoint un système ferme, declenchant la re-qualification NIS 2 du service concerne.
Genere les déclarations d'enregistrement auprès de l'ILR avec le bon périmètre (entité essentielle NIS 2 + prestataire de services de confiance qualifié eIDAS).
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'une inspection ILR ou d'un audit de conformité eIDAS.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos services de confiance reels, avec un audit blanc gratuit sous 48h pour qualifier votre exposition NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 11

Ils nous font confiance

Avant de discuter