Je dois mettre mon organisation luxembourgeoise en conformité au considérant 123 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 123 NIS 2 — Considérant 123

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 123

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(123)

L’exécution de tâches de supervision par les autorités compétentes ne devrait pas entraver inutilement les activités économiques de l’entité concernée. Lorsque les autorités compétentes exécutent leurs tâches de supervision à l’égard d’entités essentielles, y compris la conduite d’inspections sur place et de contrôles hors site, les enquêtes sur les violations de la présente directive et la réalisation d’audits de sécurité ou d’analyses de sécurité, elles devraient réduire autant que possible l’impact sur les activités économiques de l’entité concernée.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour conduire les inspections sur place, les contrôles hors site et les security scans sur les entités essentielles et importantes. Les inspections peuvent être menees avec un preavis minimal pour les entités essentielles, et l'ILR coordonne avec le HCPN et le CSSF lorsque l'entité relevé de plusieurs régulateurs sectoriels.

Pratique Luxgap : preparez un dossier d'inspection bilingue FR/EN, structurez votre point de contact ILR unique et exercez-vous a remettre le dossier en moins de 48h, car la minimisation d'impact promise par le considérant 123 ne joue qu'en faveur des entités qui repondent vite.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant pose un principe de proportionnalite opérationnelle dans les contrôles ILR : l'autorité doit limiter l'impact business de ses inspections, mais cela suppose que l'entité supervisee soit capable de fournir les preuves rapidement, sans interrompre sa production. En pratique, les entités essentielles qui n'ont pas prepare leurs artefacts (cartographie SI, journaux, procédures, registres d'incidents) subissent des inspections longues, intrusives et bloquantes. L'ILR ne sanctionné pas le considérant lui-meme, mais il sanctionné l'incapacite a répondre vite, et cette lenteur devient votre probleme economique, pas le sien.

Ce que ce considérant change concretement pour vous

Une entité preparee subit une inspection courte et ciblee ; une entité non preparee subit des semaines de demandes complementaires.
L'ILR peut conduire des security scans (scans externes de votre surface d'attaque) sans necessairement coordonner avec votre équipe IT : si votre monitoring n'est pas pret, vous decouvrirez les findings en même temps que le régulateur.
La minimisation d'impact attendue de l'autorité suppose en miroir que vous ayez un guichet unique de réponse (un dossier d'inspection deja constitue) pour eviter de mobiliser toute votre DSI a chaque demande.
L'argument 'cela perturbe notre activité' ne tient pas si vous n'avez rien anticipe : c'est précisément votre absence de préparation qui rallonge le contrôle.

Le dossier d'inspection permanent : votre meilleure défense economique

L'approche gagnante n'est pas de subir l'inspection mais d'avoir en permanence un dossier ILR pret a remettre : politique de sécurité, cartographie des actifs annexes I/II, registre des incidents, preuves de tests, contrats fournisseurs critiques, plan de continuite, formations dirigeants article 20. Si vous remettez ce dossier en J+2, l'inspection sur place dure 1 journee au lieu de 3 semaines.

Comment Luxgap automatise ce risque

Notre Luxgap Inspection-Ready Vault maintient en permanence un coffre-fort d'inspection NIS 2 pret a être remis a l'ILR en moins de 48h, qui transforme un contrôle potentiellement paralysant en formalite administrative. L'outil aspire en continu vos preuves depuis Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, votre GED (M365 / SharePoint), votre ITSM (ServiceNow, GLPI) et votre registre fournisseurs (Odoo, SAP Ariba) pour reconstituer automatiquement le dossier exige par l'article 32 de la directive.

Compile en temps reel un dossier d'inspection structure selon la grille d'audit ILR, avec table des matières, références croisees aux articles NIS 2 et horodatage cryptographique de chaque pièce.
Detecte les pièces manquantes ou perimees (politique non revue depuis 12 mois, formation dirigeants expiree, test de continuite ancien) et alerte avant que l'ILR ne le decouvre.
Genere un executive briefing de 2 pages destine a la direction, pret a être remis aux inspecteurs en ouverture de contrôle, qui démontré la maturite cyber et reduit la durée d'inspection.
Produit un export PDF scelle, opposable a l'ILR, qui materialise votre niveau de préparation a une date donnée et inverse la charge de la preuve.
Simule une inspection blanche trimestrielle en s'appuyant sur les guides ENISA et la check-list ILR pour mesurer votre temps de réponse reel.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent une inspection blanche gratuite sous 48h sur votre périmètre reel, pour mesurer combien de temps vous tiendriez aujourd'hui face a un contrôle ILR.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 123

Ils nous font confiance

Avant de discuter