Je dois mettre mon organisation luxembourgeoise en conformité au considérant 12 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 12 elargit le périmètre NIS 2 a tout acteur de la chaîne postale, y compris les prestataires d'expedition rapide et de last-mile delivery. Le piège : beaucoup de sociétés de transport ou de logistique e-commerce s'estiment hors scope car elles ne se voient pas comme 'postales', alors que des lors qu'elles assurent la levee, le tri, le transport ou la distribution d'envois postaux, l'ILR peut les qualifier d'entité importante. L'erreur miroir consiste a inclure dans le périmètre des activités de pur transport (camionnage de palettes industrielles) qui n'ont rien a voir avec la chaîne postale.Le test de qualification a appliquer en pratiqueCartographier chaque flux opérationnel et identifier s'il correspond a une etape de la chaîne postale au sens de la directive 97/67/CE (levee, tri, transport, distribution, pick-up).évaluer le degre de dependance aux réseaux et systèmes d'information : un prestataire avec tracking temps reel, API client, hubs de tri automatises depend fortement du SI et tombe dans le périmètre.Distinguer dans les contrats les prestations 'chaîne postale' (in-scope) des prestations 'transport pur' (out-of-scope) pour eviter une qualification globale par defaut.Documenter cette analyse de qualification par ecrit : c'est la premiere pièce que l'ILR demande lors d'une démarché d'auto-enregistrement.Tenir compte de la taille : seuls les acteurs moyens et grands sont concernes, mais l'ILR peut requalifier un petit acteur critique pour un service essentiel.Comment Luxgap automatise ce risqueNotre Luxgap Scope Qualifier ferme definitivement le debat 'suis-je dans le périmètre NIS 2 ?' en produisant un avis de qualification opposable a l'ILR sous 72h. L'outil ingere votre extrait RCS, votre code NACE, vos contrats clients principaux (via connecteur Odoo, SAP ou DocuWare) et vos flux opérationnels reels pour decider, etape par etape, si vous êtes entité essentielle, entité importante ou hors champ.Analyse chaque ligne d'activité de votre extrait RCS et la mappe sur les annexes I et II de NIS 2 via un agent LLM spécialisé sur la directive et sa transposition luxembourgeoise.Detecte les flux 'chaîne postale' caches dans vos contrats clients (clauses de livraison, SLA de distribution, tracking) en scannant automatiquement votre DMS.Calcule votre degre de dependance au SI à partir d'un questionnaire technique pre-rempli depuis Microsoft 365, Azure et votre annuaire applicatif.Genere le dossier d'auto-enregistrement ILR pret a deposer, avec note de qualification motivee, exclusions documentees et périmètre precis.Alerte automatiquement en cas de nouveau contrat client qui modifie votre qualification (extension a une nouvelle etape postale).Produit un avis de qualification PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle ILR pour démontrer la diligence d'analyse de périmètre.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre situation. Demandez un devis ...

Considérant 12 NIS 2 — Considérant 12

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 12

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(12)

Les prestataires de services postaux au sens de la directive 97/67/CE du Parlement européen et du Conseil (7), y compris les prestataires de services d’expédition, devraient être soumis à la présente directive s’ils fournissent au moins l’une des étapes de la chaîne postale de livraison, notamment la levée, le tri, le transport ou la distribution des envois postaux, y compris les services d’enlèvement, tout en tenant compte de leur degré de dépendance aux réseaux et aux systèmes d’information. Les services de transport qui ne sont pas réalisés en lien avec l’une de ces étapes devraient être exclus de la catégorie des services postaux.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025)

Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui désigné les entités essentielles et importantes et qui recoit les déclarations d'auto-enregistrement des prestataires postaux. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose le considérant 12 et impose aux prestataires postaux et services d'expedition (POST Luxembourg, DHL, FedEx, Michel Greco, et tous les acteurs last-mile actifs sur le territoire) de s'enregistrer auprès de l'ILR des qu'ils realisent au moins une etape de la chaîne postale.

Pratique Luxgap : même un acteur transfrontalier base en Belgique ou en France mais qui distribue des envois postaux au Luxembourg doit s'enregistrer auprès de l'ILR. Nous verifions systématiquement la dimension transfrontalière des flux logistiques avant de conclure a une qualification hors scope.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 12 elargit le périmètre NIS 2 a tout acteur de la chaîne postale, y compris les prestataires d'expedition rapide et de last-mile delivery. Le piège : beaucoup de sociétés de transport ou de logistique e-commerce s'estiment hors scope car elles ne se voient pas comme 'postales', alors que des lors qu'elles assurent la levee, le tri, le transport ou la distribution d'envois postaux, l'ILR peut les qualifier d'entité importante. L'erreur miroir consiste a inclure dans le périmètre des activités de pur transport (camionnage de palettes industrielles) qui n'ont rien a voir avec la chaîne postale.

Le test de qualification a appliquer en pratique

Cartographier chaque flux opérationnel et identifier s'il correspond a une etape de la chaîne postale au sens de la directive 97/67/CE (levee, tri, transport, distribution, pick-up).
évaluer le degre de dependance aux réseaux et systèmes d'information : un prestataire avec tracking temps reel, API client, hubs de tri automatises depend fortement du SI et tombe dans le périmètre.
Distinguer dans les contrats les prestations 'chaîne postale' (in-scope) des prestations 'transport pur' (out-of-scope) pour eviter une qualification globale par defaut.
Documenter cette analyse de qualification par ecrit : c'est la premiere pièce que l'ILR demande lors d'une démarché d'auto-enregistrement.
Tenir compte de la taille : seuls les acteurs moyens et grands sont concernes, mais l'ILR peut requalifier un petit acteur critique pour un service essentiel.

Comment Luxgap automatise ce risque

Notre Luxgap Scope Qualifier ferme definitivement le debat 'suis-je dans le périmètre NIS 2 ?' en produisant un avis de qualification opposable a l'ILR sous 72h. L'outil ingere votre extrait RCS, votre code NACE, vos contrats clients principaux (via connecteur Odoo, SAP ou DocuWare) et vos flux opérationnels reels pour decider, etape par etape, si vous êtes entité essentielle, entité importante ou hors champ.

Analyse chaque ligne d'activité de votre extrait RCS et la mappe sur les annexes I et II de NIS 2 via un agent LLM spécialisé sur la directive et sa transposition luxembourgeoise.
Detecte les flux 'chaîne postale' caches dans vos contrats clients (clauses de livraison, SLA de distribution, tracking) en scannant automatiquement votre DMS.
Calcule votre degre de dependance au SI à partir d'un questionnaire technique pre-rempli depuis Microsoft 365, Azure et votre annuaire applicatif.
Genere le dossier d'auto-enregistrement ILR pret a deposer, avec note de qualification motivee, exclusions documentees et périmètre precis.
Alerte automatiquement en cas de nouveau contrat client qui modifie votre qualification (extension a une nouvelle etape postale).
Produit un avis de qualification PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle ILR pour démontrer la diligence d'analyse de périmètre.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre situation. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cas reel, avec un audit blanc gratuit sous 48h pour qualifier votre périmètre NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 12

Ils nous font confiance

Avant de discuter