Je dois mettre mon organisation luxembourgeoise en conformité au considérant 122 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueBeaucoup d'entités importantes croient échapper a la supervision NIS 2 parce qu'elles ne sont pas essentielles. C'est une erreur d'interprétation : l'ILR peut déclencher une inspection ex post a tout moment sur la base d'un signalement client, d'un article de presse, d'un incident remonte par une autre autorité (CSSF, CNPD) ou même d'un post LinkedIn evoquant une fuite. Le piège : ne pas documenter sa conformité parce que l'obligation systématique ne s'applique pas, puis se retrouver incapable de prouver la diligence raisonnable le jour ou l'ILR sonne.Ex ante vs ex post : ce que ca change concretementEntité essentielle (annexe I) : audits programmes, demandes d'information périodiques, inspections sur place, obligation de documenter en continu les mesures de l'article 21.Entité importante (annexe II) : pas d'inspection programmee, mais une inspection peut être declenchee a tout moment par un trigger externe (plainte, media, autre autorité, OSINT).Le considérant 122 confirme que les sources de déclenchement sont très larges : citoyens, médias, autres sources, informations publiquement disponibles. Une mention sur un forum, un commit GitHub fuite, un dataset HIBP, un avis Trustpilot evoquant une compromission suffisent.Conséquence : même une entité importante doit pouvoir mobiliser un dossier de preuves en 48h-72h en cas de déclenchement, sans avoir eu le temps de le construire.Le light touch regulatoire n'est pas un light touch probatoire : l'absence de documentation est interpretee comme une absence de mesure.Comment Luxgap automatise ce risqueNotre Luxgap Trigger Watchtower renverse la logique du ex post subi : au lieu d'attendre que l'ILR vous notifié un signalement, l'outil scanne en continu les sources publiques qui déclenchent une inspection (presse luxembourgeoise et européenne, bases de fuites HIBP et DeHashed, mentions sur Reddit, X, LinkedIn, leaks Telegram, alertes CERT.lu, publications ENISA, sanctions CNPD/CSSF affectant vos sous-traitants) et vous alerte des qu'un signal exploitable par l'ILR apparait sur votre nom de domaine ou votre raison sociale.Surveille en temps reel (cron 5 minutes) les mentions de votre entité dans les flux OSINT, dark web et bases de breaches connues.Genere automatiquement un evidence pack NIS 2 pre-construit pour les entités importantes : registre des mesures article 21, journal d'incidents, cartographie des sous-traitants critiques, prets a remettre a l'ILR sous 72h.Detecte les déclencheurs indirects (sanction CNPD d'un de vos sous-traitants, fuite chez un partenaire annonce sur Have I Been Pwned) qui peuvent retomber sur vous via la chaîne d'approvisionnement de l'article 21(2)(d).Calcule un trigger score mensuel qui estime la probabilité qu'un signal externe déclenche une inspection ex post dans les 6 mois.Produit un rapport PDF horodate scelle cryptographiquement, opposable a l'ILR, qui démontré votre diligence raisonnable même en l'absence d'obligation documentaire systématique.Dis...

Considérant 122 NIS 2 — Considérant 122

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 122

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(122)

Afin de renforcer les pouvoirs et mesures de supervision qui contribuent à assurer un respect effectif des règles, la présente directive devrait prévoir une liste minimale de mesures et de moyens de supervision par lesquels les autorités compétentes peuvent superviser les entités essentielles et importantes. En outre, la présente directive devrait établir une différenciation du régime de supervision entre les entités essentielles et les entités importantes en vue de garantir un juste équilibre des obligations qui incombent à ces entités et aux autorités compétentes. Ainsi, les entités essentielles devraient être soumises à un régime de supervision à part entière, ex ante et ex post, tandis que les entités importantes devraient pour leur part être soumises à un régime de supervision léger, uniquement ex post. Les entités importantes ne devraient donc pas être tenues de documenter systématiquement le respect des exigences en matière de gestion des risques de cybersécurité, tandis que les autorités compétentes devraient mettre en œuvre une approche réactive ex post de la supervision et, par conséquent, ne pas être assujetties à une obligation générale de supervision de ces entités. La supervision ex post des entités importantes peut être déclenchée par des éléments de preuve ou toute indication ou information portés à l’attention des autorités compétentes et considérés par ces autorités comme suggérant des violations potentielles de la présente directive. Par exemple, ces éléments de preuve, indications ou informations pourraient être du type fourni aux autorités compétentes par d’autres autorités, entités, citoyens, médias ou autres sources, ou des informations publiquement disponibles, ou pourraient résulter d’autres activités menées par les autorités compétentes dans l’accomplissement de leurs tâches.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente pour la supervision NIS 2, désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Pour les entités importantes, l'ILR applique strictement le regime ex post du considérant 122 : pas d'inspection programmee, mais un pouvoir d'inspection déclenche par tout signalement credible, y compris ceux remontes par la CSSF (secteur financier), la CNPD (données personnelles) ou le CERT national GOVCERT.LU.

Pratique Luxgap : preparez des aujourd'hui un evidence pack NIS 2 dormant, même si vous êtes entité importante, et organisez un canal direct avec l'ILR pour les notifications d'incident article 23 dans le délai de 24h (early warning) puis 72h (notification complète).

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'entités importantes croient échapper a la supervision NIS 2 parce qu'elles ne sont pas essentielles. C'est une erreur d'interprétation : l'ILR peut déclencher une inspection ex post a tout moment sur la base d'un signalement client, d'un article de presse, d'un incident remonte par une autre autorité (CSSF, CNPD) ou même d'un post LinkedIn evoquant une fuite. Le piège : ne pas documenter sa conformité parce que l'obligation systématique ne s'applique pas, puis se retrouver incapable de prouver la diligence raisonnable le jour ou l'ILR sonne.

Ex ante vs ex post : ce que ca change concretement

Entité essentielle (annexe I) : audits programmes, demandes d'information périodiques, inspections sur place, obligation de documenter en continu les mesures de l'article 21.
Entité importante (annexe II) : pas d'inspection programmee, mais une inspection peut être declenchee a tout moment par un trigger externe (plainte, media, autre autorité, OSINT).
Le considérant 122 confirme que les sources de déclenchement sont très larges : citoyens, médias, autres sources, informations publiquement disponibles. Une mention sur un forum, un commit GitHub fuite, un dataset HIBP, un avis Trustpilot evoquant une compromission suffisent.
Conséquence : même une entité importante doit pouvoir mobiliser un dossier de preuves en 48h-72h en cas de déclenchement, sans avoir eu le temps de le construire.
Le light touch regulatoire n'est pas un light touch probatoire : l'absence de documentation est interpretee comme une absence de mesure.

Comment Luxgap automatise ce risque

Notre Luxgap Trigger Watchtower renverse la logique du ex post subi : au lieu d'attendre que l'ILR vous notifié un signalement, l'outil scanne en continu les sources publiques qui déclenchent une inspection (presse luxembourgeoise et européenne, bases de fuites HIBP et DeHashed, mentions sur Reddit, X, LinkedIn, leaks Telegram, alertes CERT.lu, publications ENISA, sanctions CNPD/CSSF affectant vos sous-traitants) et vous alerte des qu'un signal exploitable par l'ILR apparait sur votre nom de domaine ou votre raison sociale.

Surveille en temps reel (cron 5 minutes) les mentions de votre entité dans les flux OSINT, dark web et bases de breaches connues.
Genere automatiquement un evidence pack NIS 2 pre-construit pour les entités importantes : registre des mesures article 21, journal d'incidents, cartographie des sous-traitants critiques, prets a remettre a l'ILR sous 72h.
Detecte les déclencheurs indirects (sanction CNPD d'un de vos sous-traitants, fuite chez un partenaire annonce sur Have I Been Pwned) qui peuvent retomber sur vous via la chaîne d'approvisionnement de l'article 21(2)(d).
Calcule un trigger score mensuel qui estime la probabilité qu'un signal externe déclenche une inspection ex post dans les 6 mois.
Produit un rapport PDF horodate scelle cryptographiquement, opposable a l'ILR, qui démontré votre diligence raisonnable même en l'absence d'obligation documentaire systématique.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent une preuve de valeur sous 48h en scannant gratuitement votre exposition OSINT actuelle, avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 122

Ils nous font confiance

Avant de discuter