Je dois mettre mon organisation luxembourgeoise en conformité au considérant 110 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 110 NIS 2 — Considérant 110

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 110

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(110)

La disponibilité et l’accessibilité, en temps utile, des données relatives à l’enregistrement des noms de domaine pour les demandeurs d’accès légitimes sont essentielles pour prévenir et combattre les abus de DNS, ainsi que pour prévenir et détecter les incidents et y réagir. Par «demandeurs d’accès légitimes», il convient d’entendre toute personne physique ou morale qui formule une demande en vertu du droit de l’Union ou du droit national. Il peut s’agir des autorités compétentes en vertu de la présente directive et des autorités compétentes en vertu du droit de l’Union ou du droit national en matière de prévention et de détection d’infractions pénales, d’enquêtes et de poursuites en la matière, et des CERT ou des CSIRT. Les registres des noms de domaine de premier niveau ainsi que les entités qui fournissent des services d’enregistrement des noms de domaine devraient être tenus de permettre aux demandeurs d’accès légitimes conformément au droit de l’Union et au droit national d’accéder légalement à des données spécifiques d’enregistrement des noms de domaine qui sont nécessaires aux fins de la demande d’accès. La demande des demandeurs d’accès légitimes devrait être accompagnée d’une motivation permettant d’évaluer la nécessité de l’accès aux données.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente NIS 2 qui peut elle-meme formuler des demandes d'accès aux données d'enregistrement et qui contrôle les registries (.lu opère par RESTENA) et les registrars établis au Grand-Duche. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose l'article 28 NIS 2 et impose aux registries TLD et fournisseurs de services d'enregistrement établis au Luxembourg de répondre aux demandes légitimes sans délai injustifie, sous peine de sanctions administratives.

Pratique Luxgap : pour les acteurs operant le .lu ou un registrar luxembourgeois, nous calibrons le WHOIS Disclosure Gateway sur les exigences combinees RESTENA, ILR et CSIRT national GOVCERT.LU, avec route prioritaire vers GOVCERT.LU et la Police judiciaire pour les incidents en cours.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 110 eclaire l'article 28 NIS 2 sur les données WHOIS. Le piège n'est pas l'absence de procédure, mais sa lenteur : un CSIRT ou un service d'enquête demande l'accès a des données d'enregistrement pour traiter un incident actif (phishing, command-and-control, exfiltration), et le registrar repond en 5 jours ouvres par email avec un PDF scanne. Pendant ce temps, l'attaque continue. L'ILR et l'ENISA evaluent la conformité sur la celerite et la tracabilite de la réponse, pas sur l'existence d'un formulaire.

Ce que le considérant impose concretement aux registries et registrars luxembourgeois

Distinguer les demandeurs d'accès légitimes (autorités competentes NIS 2, autorités pénales, CERT/CSIRT, ayants droit avec base légale) des demandes commerciales ou abusives.
Exiger une motivation ecrite (statement of reasons) qui permet d'évaluer la nécessité et la proportionnalite, sans la transformer en obstacle dilatoire.
Répondre en temps utile : la jurisprudence pratique de l'ENISA pointe vers 24-72h pour les demandes urgentes liées a un incident actif.
Journaliser chaque demande, chaque décision (acceptee, refusee, partielle) et chaque transmission de données, pour audit ILR.
Differencier les jeux de données accessibles : données publiques minimales, données techniques (nameservers, dates), données personnelles du registrant (accès restreint avec motivation).

Comment Luxgap automatise ce risque

Notre Luxgap WHOIS Disclosure Gateway transforme la boite mail abuse@ saturee en portail d'accès motive, tracable et opposable a l'ILR. L'outil exposé une API et une interface web ou chaque demandeur depose sa requête avec sa qualité (CSIRT, autorité pénale, titulaire de droit), sa base légale citee article par article et sa motivation. Un agent LLM spécialisé lit la motivation, evalue la nécessité et la proportionnalite au regard du considérant 110, propose une décision en moins de 60 secondes et route la demande vers le bon validateur humain selon la criticite.

Authentifie les CSIRT et autorités via federation eIDAS, certificats X.509 ou liste blanche ILR/ENISA, evitant les usurpations par email.
Analyse automatiquement la motivation soumise et detecte les requêtes hors périmètre (fishing expedition, demande commerciale deguisee, absence de base légale).
Calibre le jeu de données retourne au strict nécessaire : un CSIRT en incident recoit nameservers et registrant technique en 15 minutes, une autorité pénale recoit les données personnelles après validation humaine.
Journalise chaque etape avec horodatage qualifié eIDAS, generant un registre immuable des disclosures opposable lors d'une inspection ILR.
Produit un rapport trimestriel de conformité article 28 NIS 2 (volume, délais, taux de refus motives, incidents liés aux disclosures) directement transmissible a l'ILR.
Intégré nativement les registries .lu (RESTENA DNS-LU) et les principaux registrars via EPP, permettant un deploiement sans refonte du back-office.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre volumetrie de demandes. Demandez votre demonstration et nos équipes preparent un audit blanc gratuit sous 48h sur vos 90 derniers jours de demandes WHOIS pour mesurer votre délai median de réponse et votre exposition réglementaire avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 110

Ils nous font confiance

Avant de discuter