Le piège classique
Beaucoup d'organisations luxembourgeoises lisent ce considérant a l'envers : 'je ne suis pas dans l'annexe I ou II de NIS 2, donc je n'ai aucune obligation cyber'. C'est une erreur de lecture. Le legislateur européen demande explicitement aux états membres de pousser les entités hors-perimetre vers un niveau eleve de cybersécurité, et l'ILR comme la CSSF s'appuient sur cette intention pour exiger des mesures equivalentes via d'autres vecteurs : exigences contractuelles des donneurs d'ordre essentiels, clauses de la loi du 28 juillet 2023, attentes sectorielles, ou simplement obligation de sécurité article 32 RGPD lue a la lumiere de l'état de l'art.
Pourquoi être 'hors scope NIS 2' ne vous protégé pas
- Vos clients entités essentielles ou importantes vont vous imposer NIS 2 par cascade contractuelle (article 21 sur la sécurité de la chaîne d'approvisionnement).
- L'ILR peut qualifier votre entité comme critique sur décision motivee, même si vous n'êtes pas automatiquement désigné par les seuils.
- Le standard de l'état de l'art se durcit : ce qui etait 'approprie' en 2022 ne l'est plus en 2025, et la CNPD comme la CSSF alignent leurs attentes sur ENISA et NIS 2.
- Vos assureurs cyber alignent leurs questionnaires de souscription sur NIS 2, même pour les non-assujettis : refus de couverture si vous n'implementez pas les 10 mesures de l'article 21.
- En cas d'incident, démontrer que vous aviez ignore les mesures equivalentes recommandees devient une circonstance aggravante.
Le test 'mesures equivalentes' : comment l'argumenter
Le considérant 13 ne fixe pas un seuil binaire mais une exigence proportionnelle. Concretement, une PME hors scope doit pouvoir démontrer qu'elle a evalue les 10 mesures de l'article 21, retenu celles pertinentes a sa surface d'attaque, et documente les ecarts justifies. Sans cette tracabilite, vous êtes nu devant un contrôle, un client exigeant, ou un sinistre.
Comment Luxgap automatise ce risque
Notre Luxgap NIS2 Equivalence Mapper repond exactement a la question 'suis-je au niveau, même hors scope ?' en transformant les 10 mesures de l'article 21 en grille d'évaluation automatisée sur votre SI reel. L'outil se connecte a Microsoft Defender, Azure Sentinel, Active Directory, Wazuh, CrowdStrike, vos firewalls et votre MDM pour mesurer votre posture cyber sans questionnaire déclaratif, puis genere un dossier d'equivalence opposable a vos clients essentiels, votre assureur ou l'ILR.
- Scanne automatiquement votre tenant M365, votre Active Directory et vos endpoints pour évaluer chaque mesure de l'article 21 NIS 2 sur une échelle de maturite alignee ENISA.
- Detecte les ecarts par rapport au standard de l'état de l'art et propose un plan de remédiation priorisé par ratio impact/effort.
- Genere un dossier d'equivalence NIS 2 horodate et cryptographiquement scelle, presentable a un client essentiel qui vous impose la cascade article 21, a votre assureur cyber, ou a l'ILR en cas d'inspection.
- Alerte en temps reel quand une mesure regresse : nouveau compte admin sans MFA, sauvegarde echouee depuis 7 jours, certificat ISO 27001 sous-traitant expire.
- Compare votre posture a la mediane de votre secteur luxembourgeois (cabinet d'avocats, fiduciaire, PME industrielle, fintech non régulée) pour materialiser votre exposition relative.
- Produit un rapport executif trimestriel pour votre comite de direction, demontrant la diligence cyber même hors scope NIS 2.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre SI reel, avec un audit blanc gratuit sous 48h pour mesurer votre ecart aux 10 mesures de l'article 21 avant tout engagement.
