Je dois mettre mon organisation luxembourgeoise en conformité au considérant 125 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 125 NIS 2 — Considérant 125

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 125

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(125)

Les autorités compétentes devraient veiller à ce que leurs tâches de supervision concernant les entités essentielles et importantes soient exercées par des professionnels formés, qui devraient avoir les compétences nécessaires à l’exécution de ces tâches, notamment en ce qui concerne la réalisation d’inspections sur place et les contrôles hors site, y compris l’identification des faiblesses dans les bases de données, le matériel, les pare-feux, le chiffrement et les réseaux. Ces inspections et contrôles devraient être effectués de manière objective.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour mener les inspections sur place et les contrôles hors site des entités essentielles et importantes. Les inspecteurs de l'ILR disposent du pouvoir d'acceder aux locaux, aux systèmes, aux données techniques et aux journaux, et peuvent requerir des audits de sécurité cibles aux frais de l'entité controlee.

Pratique Luxgap : preparez un dossier d'inspection ILR permanent (cartographie réseau à jour, registre des mesures techniques, preuves d'efficacite cryptographique, journaux SIEM 12 mois) et faites le challenger trimestriellement par un audit blanc externe, pour eviter la sanction qui frappe l'ecart entre déclaratif et mesure.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 125 oriente la manière dont l'ILR et les autorités sectorielles vont mener leurs inspections NIS 2 : avec des auditeurs techniques formes, capables de challenger vos pare-feux, vos bases de données, votre chiffrement et votre segmentation réseau. Le piège classique consiste a préparer un dossier 'papier' impeccable (politiques, procédures, registres) qui s'effondre des qu'un inspecteur de l'ILR demande a se connecter au bastion, a voir les logs Sentinel des 90 derniers jours ou a executer un nmap depuis le LAN. L'objectivite exigee par le considérant signifié aussi que l'auditeur ne se contentera pas de vos déclarations : il verifiera par lui-meme.

Ce que les inspecteurs ILR vont reellement contrôler

Configuration effective des pare-feux periferiques et internes (règles permissives non justifiees, ANY/ANY, règles dormantes).
Robustesse cryptographique : versions TLS, suites de chiffrement, gestion des clés, rotation des secrets.
Durcissement des bases de données : comptes par defaut, chiffrement au repos, separation des environnements.
Cartographie réseau reelle vs cartographie declaree (VLAN, micro-segmentation, flux est-ouest).
Patch level du matériel et des firmwares, en particulier sur les équipements OT et les appliances réseau.
Tracabilite des accès a privilèges et capacite a produire des preuves d'imputabilite.

Autrement dit, le jour de l'inspection, votre posture déclarative sera confrontee a votre posture mesuree. L'ecart entre les deux est ce qui déclenche les sanctions.

Comment Luxgap automatise ce risque

Notre Luxgap Inspection Readiness Mirror reproduit en continu le regard d'un inspecteur ILR sur votre SI : l'outil exploite vos integrations Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, Fortinet, Palo Alto et vos bases SQL/Oracle pour produire, a tout instant, le même rapport que celui qu'un auditeur technique aurait genere après une inspection sur place. Pas de questionnaire a remplir : l'outil va chercher les preuves la ou elles vivent reellement.

Scanne en temps reel vos pare-feux pour détecter les règles permissives, dormantes ou contradictoires, et produit la justification metier manquante.
Audite cryptographiquement vos endpoints exposes (TLS, suites de chiffrement, certificats expirants) avec un score aligne sur les guides ENISA et ANSSI.
Identifié les faiblesses sur bases de données (comptes par defaut, absence de chiffrement TDE, droits DBA excessifs) en se connectant en lecture seule via comptes dedies.
Reconstitue la cartographie réseau reelle à partir des flux observes et la confronte a votre schema declare, en alertant sur chaque divergence.
Genere un dossier d'inspection PDF horodate et cryptographiquement scelle, structure exactement comme le livrable attendu par l'ILR lors d'un contrôle au titre de la loi du 28 juillet 2023.
Simule trimestriellement une inspection blanche avec scoring objectif, pour mesurer l'ecart entre posture declaree et posture mesuree.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent un audit blanc gratuit sous 48h sur votre périmètre reel, pour vous montrer exactement ce qu'un inspecteur ILR verrait demain matin.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 125

Ils nous font confiance

Avant de discuter