Je dois mettre mon organisation luxembourgeoise en conformité au considérant 115 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant tranche une question pratique : un FAI ou un operateur telecom qui fournit un resolveur DNS recursif uniquement en accessoire de son accès internet ne devient pas une entité numérique rattachee a un seul état membre via le critère du siège principal. Il relevé de la juridiction de chaque état membre ou son service est offert. En pratique, un FAI luxembourgeois actif via roaming, MVNO, ou succursale en Belgique, France ou Allemagne devra notifier ses incidents DNS a l'ILR ET potentiellement aux autorités homologues (BIPT, ANSSI, BSI) selon la localisation des utilisateurs affectes.Les pièges opérationnels du DNS recursif accessoireConfondre DNS recursif autonome (entité essentielle relevant uniquement de l'état du siège principal, art. 26(1)(b)) et DNS recursif accessoire a l'accès internet (juridictions multiples).Négliger les flux DNS chiffres (DoH, DoT) qui peuvent transiter par des resolveurs hébergées dans un autre état membre que celui de l'utilisateur final.Sous-estimer la cartographie territoriale des abonnes : un MVNO luxembourgeois peut avoir 15% de ses cartes SIM actives en zone frontaliere française ou allemande, declenchant la competence concurrente.Oublier que la notification d'incident significatif (art. 23) doit être coordonnee : l'ILR transmet aux CSIRT homologues, mais l'entité reste responsable de la qualité et de la coherence des informations remontees a chaque autorité.Négliger la documentation des points de presence DNS : sans cartographie à jour, impossible de prouver le périmètre territorial reel en cas de contrôle multi-juridictionnel.Comment Luxgap automatise ce risqueNotre Luxgap DNS Jurisdiction Mapper transforme la nebuleuse multi-juridictionnelle des resolveurs DNS d'un FAI ou MVNO en cartographie opposable, mise à jour en continu. L'outil interroge automatiquement vos infrastructures DNS (BIND, Unbound, PowerDNS, resolveurs cloud AWS Route 53 Resolver, Azure DNS Private Resolver) et croise les logs de requêtes avec les plages IP attribuees a vos abonnes par RIPE NCC pour materialiser, par état membre, le volume reel de requêtes DNS traitées.Detecte en temps reel la répartition géographique des requêtes DNS recursives via correlation entre logs de resolveurs et bases GeoIP MaxMind enrichies des allocations RIPE.Identifié automatiquement les seuils déclencheurs de competence concurrente (volume d'abonnes par état membre, points de presence physiques, contrats MVNO transfrontaliers).Genere une matrice de juridiction prete a transmettre a l'ILR et aux CSIRT homologues (ANSSI, BSI, BIPT, NCSC-NL) en cas d'incident significatif art. 23.Alerte sous 5 minutes lorsqu'un nouveau resolveur DoH/DoT est detecte dans votre infrastructure, avec évaluation immediate de l'impact juridictionnel.Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle ILR coordonne avec une autorité étrangère, qui démontré la coherence des notifications transmises a chaque juridiction...

Considérant 115 NIS 2 — Considérant 115

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 115

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(115)

Lorsqu’un service DNS récursif accessible au public est fourni uniquement dans le cadre du service d’accès à l’internet par un fournisseur de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, il convient de considérer que l’entité relève de la compétence de tous les États membres dans lesquels ses services sont fournis.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est désigné comme autorité competente et CSIRT national par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Pour un FAI ou MVNO luxembourgeois operant un resolveur DNS recursif accessoire, l'ILR est le point de contact unique pour la notification d'incident significatif (early warning sous 24h, notification complète sous 72h), mais conserve l'obligation de coordination avec les autorités des autres états membres ou le service est fourni, conformément au mécanisme de cooperation prévu par la loi.

Pratique Luxgap : maintenez une matrice 'état membre -> autorité -> point de contact' validee chaque trimestre, et pre-cablez vos templates de notification ILR avec un champ 'autres juridictions concernees' renseigne automatiquement par votre cartographie DNS.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant tranche une question pratique : un FAI ou un operateur telecom qui fournit un resolveur DNS recursif uniquement en accessoire de son accès internet ne devient pas une entité numérique rattachee a un seul état membre via le critère du siège principal. Il relevé de la juridiction de chaque état membre ou son service est offert. En pratique, un FAI luxembourgeois actif via roaming, MVNO, ou succursale en Belgique, France ou Allemagne devra notifier ses incidents DNS a l'ILR ET potentiellement aux autorités homologues (BIPT, ANSSI, BSI) selon la localisation des utilisateurs affectes.

Les pièges opérationnels du DNS recursif accessoire

Confondre DNS recursif autonome (entité essentielle relevant uniquement de l'état du siège principal, art. 26(1)(b)) et DNS recursif accessoire a l'accès internet (juridictions multiples).
Négliger les flux DNS chiffres (DoH, DoT) qui peuvent transiter par des resolveurs hébergées dans un autre état membre que celui de l'utilisateur final.
Sous-estimer la cartographie territoriale des abonnes : un MVNO luxembourgeois peut avoir 15% de ses cartes SIM actives en zone frontaliere française ou allemande, declenchant la competence concurrente.
Oublier que la notification d'incident significatif (art. 23) doit être coordonnee : l'ILR transmet aux CSIRT homologues, mais l'entité reste responsable de la qualité et de la coherence des informations remontees a chaque autorité.
Négliger la documentation des points de presence DNS : sans cartographie à jour, impossible de prouver le périmètre territorial reel en cas de contrôle multi-juridictionnel.

Comment Luxgap automatise ce risque

Notre Luxgap DNS Jurisdiction Mapper transforme la nebuleuse multi-juridictionnelle des resolveurs DNS d'un FAI ou MVNO en cartographie opposable, mise à jour en continu. L'outil interroge automatiquement vos infrastructures DNS (BIND, Unbound, PowerDNS, resolveurs cloud AWS Route 53 Resolver, Azure DNS Private Resolver) et croise les logs de requêtes avec les plages IP attribuees a vos abonnes par RIPE NCC pour materialiser, par état membre, le volume reel de requêtes DNS traitées.

Detecte en temps reel la répartition géographique des requêtes DNS recursives via correlation entre logs de resolveurs et bases GeoIP MaxMind enrichies des allocations RIPE.
Identifié automatiquement les seuils déclencheurs de competence concurrente (volume d'abonnes par état membre, points de presence physiques, contrats MVNO transfrontaliers).
Genere une matrice de juridiction prete a transmettre a l'ILR et aux CSIRT homologues (ANSSI, BSI, BIPT, NCSC-NL) en cas d'incident significatif art. 23.
Alerte sous 5 minutes lorsqu'un nouveau resolveur DoH/DoT est detecte dans votre infrastructure, avec évaluation immediate de l'impact juridictionnel.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle ILR coordonne avec une autorité étrangère, qui démontré la coherence des notifications transmises a chaque juridiction.
Pre-remplit le formulaire de notification d'incident ILR avec la liste des états membres concernes, evitant les oublis qui déclenchent une seconde sanction pour notification incomplete.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre infrastructure DNS reelle, avec un audit blanc gratuit sous 48h pour cartographier votre exposition juridictionnelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 115

Ils nous font confiance

Avant de discuter