Je dois mettre mon organisation luxembourgeoise en conformité au considérant 128 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 128 précisé que NIS 2 n'impose pas aux états membres de créer une responsabilité pénale ou civile personnelle du dirigeant ou du RSSI envers les tiers leses. Mais attention : il ne neutralise PAS les regimes nationaux preexistants. Au Luxembourg, la responsabilité civile de droit commun (article 1382 du Code civil), la faute de gestion en droit des sociétés et la responsabilité pénale pour négligence grave restent pleinement applicables. L'ILR pourrait sanctionner l'entité, et en parallele un actionnaire, un client ou un salarié victime d'une fuite pourrait poursuivre individuellement un dirigeant sur le fondement du droit commun.Ce que ce considérant change concretement pour la gouvernanceL'article 20 de NIS 2 impose deja une responsabilité directe des organes de direction pour l'approbation et le suivi des mesures de cybersécurité : ce considérant 128 n'efface pas cette obligation, il la cantonne au plan administratif.Les D&O insurance policies doivent être relues : la couverture cyber dirigeant devient un sujet de comite d'audit, pas un detail RH.La tracabilite des décisions du conseil d'administration en matière de cybersécurité (PV signes, votes documentes, formations suivies) devient la premiere ligne de défense d'un dirigeant en cas d'action en responsabilité civile.Les delegations de pouvoir formelles vers le CISO doivent être rédigées avec précision pour repartir clairement la responsabilité opérationnelle sans diluer la responsabilité stratégique.Comment Luxgap automatise ce risqueNotre Luxgap Board Accountability Vault transforme chaque décision cyber du conseil d'administration en preuve cryptographiquement opposable, qui protégé individuellement chaque administrateur en cas d'action civile post-incident. L'outil se connecte a vos outils de gouvernance (Diligent, Nasdaq Boardvantage, M365 SharePoint, Notion) et capture automatiquement chaque vote, chaque presentation cyber, chaque formation NIS 2 suivie, avec horodatage qualifié eIDAS via LuxTrust.Detecte automatiquement chaque reunion du conseil ou du comite d'audit traitant de cybersécurité via analyse des ordres du jour et des PV importes.Genere une fiche individuelle par administrateur retracant ses votes, ses abstentions, ses formations cyber et ses alertes recues, opposable en cas de mise en cause personnelle.Alerte le president du conseil quand un point article 20 NIS 2 n'a pas ete traite depuis plus de 6 mois (approbation des mesures de gestion des risques).Produit un registre des delegations de pouvoir cyber (CEO vers CISO, CISO vers responsables opérationnels) avec versions horodatees, pour materialiser la chaîne de responsabilité.Genere un rapport annuel d'accountability board, signe electroniquement, a joindre au rapport de gestion et opposable a l'ILR comme aux tiers leses.Calcule un score d'exposition personnelle par administrateur base sur sa participation effective aux décisions cyber, utilisable pour negocier la couverture D&O.Dispo...

Considérant 128 NIS 2 — Considérant 128

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 128

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(128)

La présente directive n’impose pas aux États membres de prévoir une responsabilité pénale ou civile à l’égard des personnes physiques chargées de veiller à ce qu’une entité se conforme à la présente directive pour les dommages subis par des tiers du fait d’une violation de la présente directive.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) ne cree pas de responsabilité pénale ou civile personnelle des dirigeants envers les tiers, conformément a ce considérant 128. Cependant, l'article 1382 du Code civil luxembourgeois (responsabilité civile delictuelle), les articles 59 et 192-1 de la loi du 10 aout 1915 sur les sociétés commerciales (faute de gestion, responsabilité envers les actionnaires et les tiers) et l'article 418 du Code pénal (homicide ou blessures involontaires par négligence en cas d'incident a impact physique) restent pleinement applicables a titre individuel. L'ILR conserve le pouvoir de sanctionner administrativement l'entité essentielle ou importante.

Pratique Luxgap : exigez un PV horodate de chaque approbation board des mesures article 20, deposez les delegations cyber au RCS quand elles modifient la répartition des pouvoirs statutaires, et verifiez que votre police D&O couvre explicitement les sanctions NIS 2 et les actions civiles consecutives.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 128 précisé que NIS 2 n'impose pas aux états membres de créer une responsabilité pénale ou civile personnelle du dirigeant ou du RSSI envers les tiers leses. Mais attention : il ne neutralise PAS les regimes nationaux preexistants. Au Luxembourg, la responsabilité civile de droit commun (article 1382 du Code civil), la faute de gestion en droit des sociétés et la responsabilité pénale pour négligence grave restent pleinement applicables. L'ILR pourrait sanctionner l'entité, et en parallele un actionnaire, un client ou un salarié victime d'une fuite pourrait poursuivre individuellement un dirigeant sur le fondement du droit commun.

Ce que ce considérant change concretement pour la gouvernance

L'article 20 de NIS 2 impose deja une responsabilité directe des organes de direction pour l'approbation et le suivi des mesures de cybersécurité : ce considérant 128 n'efface pas cette obligation, il la cantonne au plan administratif.
Les D&O insurance policies doivent être relues : la couverture cyber dirigeant devient un sujet de comite d'audit, pas un detail RH.
La tracabilite des décisions du conseil d'administration en matière de cybersécurité (PV signes, votes documentes, formations suivies) devient la premiere ligne de défense d'un dirigeant en cas d'action en responsabilité civile.
Les delegations de pouvoir formelles vers le CISO doivent être rédigées avec précision pour repartir clairement la responsabilité opérationnelle sans diluer la responsabilité stratégique.

Comment Luxgap automatise ce risque

Notre Luxgap Board Accountability Vault transforme chaque décision cyber du conseil d'administration en preuve cryptographiquement opposable, qui protégé individuellement chaque administrateur en cas d'action civile post-incident. L'outil se connecte a vos outils de gouvernance (Diligent, Nasdaq Boardvantage, M365 SharePoint, Notion) et capture automatiquement chaque vote, chaque presentation cyber, chaque formation NIS 2 suivie, avec horodatage qualifié eIDAS via LuxTrust.

Detecte automatiquement chaque reunion du conseil ou du comite d'audit traitant de cybersécurité via analyse des ordres du jour et des PV importes.
Genere une fiche individuelle par administrateur retracant ses votes, ses abstentions, ses formations cyber et ses alertes recues, opposable en cas de mise en cause personnelle.
Alerte le president du conseil quand un point article 20 NIS 2 n'a pas ete traite depuis plus de 6 mois (approbation des mesures de gestion des risques).
Produit un registre des delegations de pouvoir cyber (CEO vers CISO, CISO vers responsables opérationnels) avec versions horodatees, pour materialiser la chaîne de responsabilité.
Genere un rapport annuel d'accountability board, signe electroniquement, a joindre au rapport de gestion et opposable a l'ILR comme aux tiers leses.
Calcule un score d'exposition personnelle par administrateur base sur sa participation effective aux décisions cyber, utilisable pour negocier la couverture D&O.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon la taille de votre conseil. Demandez une demonstration et nos équipes realisent un audit blanc gratuit sous 48h des PV de vos 12 derniers mois pour mesurer le niveau de preuve deja disponible.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 128

Ils nous font confiance

Avant de discuter