Je dois mettre mon organisation luxembourgeoise en conformité au considérant 113 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 113 fixe une règle apparemment simple, mais redoutable en pratique : votre entité relevé de l'autorité competente du pays d'établissement, sauf exceptions sectorielles (telcos, cloud, DNS, MSP, places de marché...) qui basculent sur l'établissement principal dans l'Union. L'ILR sanctionné les entités qui se croient hors de son périmètre alors qu'elles fournissent des services depuis ou vers le Luxembourg, et les groupes multi-juridictionnels qui n'ont pas cartographie leurs autorités de tutelle reelles. Le piège classique : une fintech avec siège a Luxembourg, dev en Pologne, hébergement en Irlande et clients en France croit dependre de l'ILR seul, alors qu'elle peut relever de la competence concurrente de quatre autorités.Le test de juridiction NIS 2 en 4 questionsQuel type d'entité ? Telco = pays de fourniture du service. Cloud/DNS/MSP/marketplace = établissement principal UE. Administration publique = état qui l'a établie. Autres = état d'établissement.Ou est mon établissement principal ? Lieu de prise des décisions liées aux mesures de gestion des risques cyber, ou a defaut lieu des opérations cyber, ou a defaut lieu avec le plus d'employés UE.Suis-je établi dans plusieurs états membres ? Si oui, competence concurrente : l'ILR ET les homologues étrangers peuvent inspecter, mais une seule sanction pour le même fait (ne bis in idem).Ai-je désigné un représentant UE ? Obligatoire si vous offrez des services dans l'UE sans y être établi (art. 26 NIS 2).Concretement, vous devez produire une note de juridiction NIS 2 documentee, datee, signee par la direction, qui identifié pour chaque entité du groupe : l'autorité competente principale, les autorités concurrentes, le représentant UE eventuel, et le point de contact unique de chaque état membre concerne. Cette note est le premier document que l'ILR demandera en cas d'inspection croisee.Comment Luxgap automatise ce risqueNotre Luxgap Jurisdiction Mapper ferme definitivement le sujet de la competence territoriale NIS 2 en produisant, en moins de 10 minutes, la cartographie opposable de vos autorités de tutelle reelles à travers l'Europe. L'outil interroge vos registres légaux (RCSL, BCE, Handelsregister, Companies House), vos consoles cloud (Azure tenant region, AWS Organizations, GCP folders) et vos données RH (Workday, Sopra HR, BambooHR) pour reconstruire automatiquement la structure de groupe, la localisation des décisions cyber et le test d'établissement principal au sens de l'article 26 NIS 2.Detecte automatiquement chaque entité juridique du groupe et la rattache a son autorité NIS 2 nationale (ILR pour LU, ANSSI pour FR, BSI pour DE, NCSC-NL, etc.) avec justification documentee.Calcule le test d'établissement principal UE selon la hierarchie de l'article 26(2) : décisions cyber > opérations cyber > effectifs UE, en s'appuyant sur les données Workday et Active Directory.Identifié les situations de competence concurrente et liste les obligations de notificati...

Considérant 113 NIS 2 — Considérant 113

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 113

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(113)

Les entités relevant du champ d’application de la présente directive devraient être considérées comme relevant de la compétence de l’État membre dans lequel elles sont établies. Toutefois, les fournisseurs de réseaux de communications électroniques publics ou les fournisseurs de services de communications électroniques accessibles au public devraient être considérés comme relevant de la compétence de l’État membre dans lequel ils fournissent leurs services. Les fournisseurs de services DNS, les registres des noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, ainsi que les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux devraient être considérés comme relevant de la compétence de l’État membre dans lequel ils ont leur établissement principal dans l’Union. Les entités de l’administration publique devraient relever de la compétence de l’État membre qui les a établies. Si l’entité fournit des services ou est établie dans plus d’un État membre, elle devrait dès lors relever de la compétence distincte et concurrente de chacun de ces États membres. Les autorités compétentes de ces États membres devraient coopérer, se prêter mutuellement assistance et, s’il y a lieu, mener des actions communes de supervision. Lorsque les États membres exercent leur compétence, ils ne devraient pas imposer de mesures d’exécution ou de sanctions plus d’une fois pour un même comportement, conformément au principe non bis in idem.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente nationale désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Toute entité essentielle ou importante établie au Luxembourg, ou dont l'établissement principal UE est au Luxembourg pour les services cloud/DNS/MSP/marketplace, relevé directement de l'ILR pour la désignation, la notification d'incident, l'inspection et les sanctions administratives. En cas de competence concurrente avec une autorité étrangère, l'ILR cooperera via le groupe de cooperation NIS et le réseau CSIRT, et appliquera strictement le principe ne bis in idem.

Pratique Luxgap : si votre groupe a son siège a Luxembourg mais des opérations cyber gérées depuis un autre état membre, documentez explicitement la localisation des décisions de gestion des risques cyber (comite de sécurité, RACI CISO) car c'est ce qui determine in fine si l'ILR ou l'autorité étrangère est l'autorité principale.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 113 fixe une règle apparemment simple, mais redoutable en pratique : votre entité relevé de l'autorité competente du pays d'établissement, sauf exceptions sectorielles (telcos, cloud, DNS, MSP, places de marché...) qui basculent sur l'établissement principal dans l'Union. L'ILR sanctionné les entités qui se croient hors de son périmètre alors qu'elles fournissent des services depuis ou vers le Luxembourg, et les groupes multi-juridictionnels qui n'ont pas cartographie leurs autorités de tutelle reelles. Le piège classique : une fintech avec siège a Luxembourg, dev en Pologne, hébergement en Irlande et clients en France croit dependre de l'ILR seul, alors qu'elle peut relever de la competence concurrente de quatre autorités.

Le test de juridiction NIS 2 en 4 questions

Quel type d'entité ? Telco = pays de fourniture du service. Cloud/DNS/MSP/marketplace = établissement principal UE. Administration publique = état qui l'a établie. Autres = état d'établissement.
Ou est mon établissement principal ? Lieu de prise des décisions liées aux mesures de gestion des risques cyber, ou a defaut lieu des opérations cyber, ou a defaut lieu avec le plus d'employés UE.
Suis-je établi dans plusieurs états membres ? Si oui, competence concurrente : l'ILR ET les homologues étrangers peuvent inspecter, mais une seule sanction pour le même fait (ne bis in idem).
Ai-je désigné un représentant UE ? Obligatoire si vous offrez des services dans l'UE sans y être établi (art. 26 NIS 2).

Concretement, vous devez produire une note de juridiction NIS 2 documentee, datee, signee par la direction, qui identifié pour chaque entité du groupe : l'autorité competente principale, les autorités concurrentes, le représentant UE eventuel, et le point de contact unique de chaque état membre concerne. Cette note est le premier document que l'ILR demandera en cas d'inspection croisee.

Comment Luxgap automatise ce risque

Notre Luxgap Jurisdiction Mapper ferme definitivement le sujet de la competence territoriale NIS 2 en produisant, en moins de 10 minutes, la cartographie opposable de vos autorités de tutelle reelles à travers l'Europe. L'outil interroge vos registres légaux (RCSL, BCE, Handelsregister, Companies House), vos consoles cloud (Azure tenant region, AWS Organizations, GCP folders) et vos données RH (Workday, Sopra HR, BambooHR) pour reconstruire automatiquement la structure de groupe, la localisation des décisions cyber et le test d'établissement principal au sens de l'article 26 NIS 2.

Detecte automatiquement chaque entité juridique du groupe et la rattache a son autorité NIS 2 nationale (ILR pour LU, ANSSI pour FR, BSI pour DE, NCSC-NL, etc.) avec justification documentee.
Calcule le test d'établissement principal UE selon la hierarchie de l'article 26(2) : décisions cyber > opérations cyber > effectifs UE, en s'appuyant sur les données Workday et Active Directory.
Identifié les situations de competence concurrente et liste les obligations de notification croisee auprès de chaque autorité, avec les délais nationaux spécifiques.
Genere le mandat de représentant UE article 26(3) pre-rempli pour les entités hors UE servant le marché européen.
Produit une note de juridiction PDF horodatee et signee electroniquement, opposable a l'ILR et a ses homologues lors d'une inspection conjointe, qui démontré votre analyse ne bis in idem.
Alerte en temps reel via Teams ou Slack des qu'un nouveau pays apparait dans vos consoles cloud (nouveau tenant Azure, nouvelle region AWS activee) susceptible de déclencher une juridiction supplémentaire.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre structure de groupe reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition multi-juridictionnelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 113

Ils nous font confiance

Avant de discuter