Je dois mettre mon organisation luxembourgeoise en conformité au considérant 118 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 118 NIS 2 — Considérant 118

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 118

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(118)

Lorsque des informations qui sont classifiées conformément au droit national ou au droit de l’Union sont échangées, communiquées ou partagées d’une autre manière en vertu de la présente directive, les règles correspondantes relatives au traitement des informations classifiées devraient être appliquées. En outre, l’ENISA devrait disposer de l’infrastructure, des procédures et des règles nécessaires pour traiter les informations sensibles et classifiées conformément aux règles de sécurité applicables à la protection des informations classifiées de l’Union européenne.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, le traitement des informations classifiees relevant de la directive NIS 2 est encadre par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) en articulation avec la loi du 15 juin 2004 relative a la classification des pièces et aux habilitations de sécurité. L'ANSIL (Autorité nationale de Sécurité) reste competente pour les habilitations RESTREINT LUX a TRES SECRET LUX, tandis que l'ILR recoit les notifications NIS 2 et impose ses propres canaux sécurisés pour les informations sensibles. Toute transmission a ENISA d'informations classifiees nationales requiert une coordination préalable avec l'ANSIL.

Pratique Luxgap : nous cartographions vos flux ILR/ENISA et identifions en amont quelles transmissions necessitent une habilitation ANSIL et quel canal precis utiliser, pour eviter qu'une notification d'incident sous 24h ne devienne une violation du secret défense.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 118 rappelle une evidence souvent ignoree : echanger avec l'ILR, ENISA ou un CSIRT ne suspend pas vos obligations de classification. Une entité essentielle qui transmet un rapport d'incident contenant des informations marquees RESTREINT UE, secret des affaires ou données classifiees nationales doit appliquer les règles de manipulation correspondantes (canaux chiffres, habilitations, tracabilite). L'ILR sanctionné les fuites par canal mail standard ou portail non habilite, et la responsabilité pénale du dirigeant peut être engagee en cas de divulgation d'informations classifiees.

Les reflexes a intégrer dans vos procédures NIS 2

Cartographier en amont quels elements de vos notifications d'incident sont classifies (architecture réseau, IOC sensibles, identités des victimes, vulnerabilites zero-day).
Distinguer trois canaux : portail ILR standard pour notifications classiques, canal chiffre dedié pour informations sensibles, canal habilite pour EU CONFIDENTIAL et au-dessus.
Vérifier que vos analystes SOC et votre RSSI disposent des habilitations adequates avant tout partagé avec un CSIRT étranger ou ENISA.
Tenir un registre des transmissions classifiees (qui, quoi, quand, vers qui, niveau, accuse de reception).
Former les équipes au principe du need-to-know : même au sein du CSIRT national, tout le monde n'a pas vocation a voir tout.

Comment Luxgap automatise ce risque

Notre Luxgap Classified Exchange Gateway est un sas de communication qui rend impossible l'envoi accidentel d'informations classifiees par un canal non autorise. La passerelle s'intercale entre votre SOC (Sentinel, Defender, Splunk, Wazuh) et les destinataires externes (ILR, ENISA, CSIRT-LU, partenaires sectoriels), classifie automatiquement chaque payload sortant via un agent LLM spécialisé et route vers le canal adapte au niveau detecte.

Detecte automatiquement la presence de marquages RESTREINT UE, CONFIDENTIEL UE, secrets d'affaires ou données personnelles sensibles dans chaque notification d'incident avant transmission.
Classifie le payload via un agent IA entraine sur les règles de sécurité UE 2015/444 et la décision 2013/488/UE, et propose le niveau adequat avec justification opposable.
Route automatiquement vers le canal ad hoc : portail ILR standard, messagerie chiffree S/MIME, ou canal habilite hors-bande pour les niveaux superieurs.
Vérifié en temps reel que le destinataire (analyste ENISA, agent ILR, homologue CSIRT) dispose de l'habilitation requise avant d'autoriser l'envoi.
Genere un registre cryptographiquement scelle de toutes les transmissions classifiees, opposable lors d'un contrôle ILR ou d'un audit ANSSI.
Alerte instantanement le RSSI sur Teams si un analyste tente de copier-coller un IOC classifie dans un canal Slack ou un mail standard.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux de notification reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 118

Ils nous font confiance

Avant de discuter