Je dois mettre mon organisation luxembourgeoise en conformité au considérant 124 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 124 acte que la supervision ILR ne sera pas uniforme : elle suit une approche par les risques. Les entités essentielles classees dans les catégories de risque elevees subiront des inspections sur place plus frequentes, des audits cibles et des demandes d'informations détaillées. Le piège est de croire qu'on passera sous le radar tant qu'aucun incident n'est declare : l'ILR peut déclencher un contrôle ex ante sur la base d'indicateurs sectoriels, de signaux faibles ou d'une auto-evaluation jugée incomplete. Une entité incapable de produire rapidement des preuves structurees lors d'un contrôle priorisé est mecaniquement requalifiee en catégorie de risque superieure pour les cycles suivants.Comment se préparer a une supervision basee sur les risquesDocumenter son propre score de risque interne (criticite metier, dependances IT, exposition géographique, historique d'incidents) avant que l'ILR ne le calcule a votre place.Tenir un dossier de supervision toujours pret : politique SSI, analyse de risques, plan de continuite, registre d'incidents, preuves de tests, formation dirigeants.Anticiper les types de demandes ENISA standardisées : inventaire des actifs, cartographie des flux, évaluation des sous-traitants critiques, journaux d'audit sur 12 mois.Suivre les programmes de travail publies par l'ILR et l'ENISA pour identifier les thèmes prioritaires de l'annee en cours (chaîne d'approvisionnement, identité, cloud, OT).Pour les entités publiques, articuler la supervision NIS 2 avec les cadres existants (HCPN, règles internes administration) pour eviter les doublons et les contradictions.Comment Luxgap automatise ce risqueNotre Luxgap Supervision Readiness Engine simule en continu le score de risque que l'ILR vous attribuerait, et vous classe dans la même grille de catégories que l'autorité, six mois avant son prochain cycle d'inspection. L'outil agrege en temps reel vos données Microsoft Defender, Sentinel, CrowdStrike, Wazuh, votre CMDB et vos contrats sous-traitants critiques pour calculer un score aligne sur les méthodologies ENISA NIS Investments et les critères typiques d'une autorité competente.Calcule un score de risque equivalent ILR, decline par catégorie (gouvernance, gestion des actifs, chaîne d'approvisionnement, détection, réponse, continuite) avec benchmark sectoriel anonymise.Detecte automatiquement les zones grises qui declencheraient une priorisation defavorable : analyse de risques de plus de 12 mois, absence de tests de continuite, sous-traitants critiques sans audit récent.Genere un dossier de supervision opposable, structure selon les attentes types d'une inspection ex ante : politiques, preuves de mise en œuvre, journaux, formations dirigeants, exercices.Alerte sur les programmes de travail annuels publies par l'ILR et l'ENISA et mappe automatiquement vos lacunes sur les thèmes prioritaires de l'annee.Produit un rapport PDF horodate, cryptographiquement scelle, presentable directement aux inspect...

Considérant 124 NIS 2 — Considérant 124

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 124

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(124)

Lorsqu’elles exercent une supervision ex ante, les autorités compétentes devraient être en mesure de fixer les priorités en ce qui concerne le recours proportionné aux mesures et moyens de supervision dont elles disposent. Cela signifie que les autorités compétentes peuvent fixer ces priorités sur la base de méthodes de supervision qui devraient suivre une approche basée sur les risques. Plus précisément, ces méthodes pourraient inclure des critères ou des valeurs de référence pour le classement des entités essentielles en catégories de risque, et les mesures et moyens de supervision correspondants recommandés par catégorie de risque, tels que l’utilisation, la fréquence ou les types d’inspections sur place, d’audits de sécurité ciblés ou de scans de sécurité, le type d’informations à demander et le niveau de détail de ces informations. Ces méthodes de supervision pourraient également être accompagnées de programmes de travail et faire l’objet d’une évaluation et d’un réexamen réguliers, y compris sur des aspects tels que l’affectation des ressources et les besoins de ressources. En ce qui concerne les entités de l’administration publique, les pouvoirs de supervision devraient être exercés conformément aux cadres législatif et institutionnel nationaux.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour exercer la supervision ex ante des entités essentielles. L'ILR publie ses méthodologies de supervision et peut mener inspections sur place, audits de sécurité cibles et scans de sécurité, en coordination avec le HCPN pour les entités de l'administration publique luxembourgeoise.

Pratique Luxgap : preparez un dossier ILR pret a presenter sous 48h, structure selon les six thèmes types d'inspection (gouvernance, actifs, supply chain, détection, réponse, continuite), pour eviter une requalification defavorable en catégorie de risque elevee.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 124 acte que la supervision ILR ne sera pas uniforme : elle suit une approche par les risques. Les entités essentielles classees dans les catégories de risque elevees subiront des inspections sur place plus frequentes, des audits cibles et des demandes d'informations détaillées. Le piège est de croire qu'on passera sous le radar tant qu'aucun incident n'est declare : l'ILR peut déclencher un contrôle ex ante sur la base d'indicateurs sectoriels, de signaux faibles ou d'une auto-evaluation jugée incomplete. Une entité incapable de produire rapidement des preuves structurees lors d'un contrôle priorisé est mecaniquement requalifiee en catégorie de risque superieure pour les cycles suivants.

Comment se préparer a une supervision basee sur les risques

Documenter son propre score de risque interne (criticite metier, dependances IT, exposition géographique, historique d'incidents) avant que l'ILR ne le calcule a votre place.
Tenir un dossier de supervision toujours pret : politique SSI, analyse de risques, plan de continuite, registre d'incidents, preuves de tests, formation dirigeants.
Anticiper les types de demandes ENISA standardisées : inventaire des actifs, cartographie des flux, évaluation des sous-traitants critiques, journaux d'audit sur 12 mois.
Suivre les programmes de travail publies par l'ILR et l'ENISA pour identifier les thèmes prioritaires de l'annee en cours (chaîne d'approvisionnement, identité, cloud, OT).
Pour les entités publiques, articuler la supervision NIS 2 avec les cadres existants (HCPN, règles internes administration) pour eviter les doublons et les contradictions.

Comment Luxgap automatise ce risque

Notre Luxgap Supervision Readiness Engine simule en continu le score de risque que l'ILR vous attribuerait, et vous classe dans la même grille de catégories que l'autorité, six mois avant son prochain cycle d'inspection. L'outil agrege en temps reel vos données Microsoft Defender, Sentinel, CrowdStrike, Wazuh, votre CMDB et vos contrats sous-traitants critiques pour calculer un score aligne sur les méthodologies ENISA NIS Investments et les critères typiques d'une autorité competente.

Calcule un score de risque equivalent ILR, decline par catégorie (gouvernance, gestion des actifs, chaîne d'approvisionnement, détection, réponse, continuite) avec benchmark sectoriel anonymise.
Detecte automatiquement les zones grises qui declencheraient une priorisation defavorable : analyse de risques de plus de 12 mois, absence de tests de continuite, sous-traitants critiques sans audit récent.
Genere un dossier de supervision opposable, structure selon les attentes types d'une inspection ex ante : politiques, preuves de mise en œuvre, journaux, formations dirigeants, exercices.
Alerte sur les programmes de travail annuels publies par l'ILR et l'ENISA et mappe automatiquement vos lacunes sur les thèmes prioritaires de l'annee.
Produit un rapport PDF horodate, cryptographiquement scelle, presentable directement aux inspecteurs ILR lors d'un contrôle sur place.
Simule une inspection blanche : 80 questions types posees par une autorité competente, avec évaluation de la qualité et de la rapidité de vos réponses.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une inspection blanche sur votre périmètre reel, avec un audit gratuit sous 48h pour mesurer votre catégorie de risque probable avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 124

Ils nous font confiance

Avant de discuter