Je dois mettre mon organisation luxembourgeoise en conformité au considérant 130 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 130 oriente l'ILR sur la manière de calibrer une amende administrative NIS 2 : si l'entité est une entreprise au sens des articles 101 et 102 TFUE, l'autorité raisonne en chiffre d'affaires consolide du groupe economique, pas du seul véhicule juridique sanctionné. Le piège concret : croire que filialiser une activité critique dans une SARL au capital minimal protégé le groupe. L'ILR appliquera la notion d'unité economique et calculera 2% du CA mondial consolide de la maison-mere, comme la Commission le fait en droit de la concurrence.Ce que change ce considérant pour votre gouvernanceLa structure juridique de votre entité essentielle ou importante ne protégé pas du calcul groupe : holding luxembourgeoise + filiale opérationnelle = une seule entreprise au sens 101/102 TFUE.Pour les personnes physiques sanctionnées (dirigeants, RSSI), l'ILR module selon le niveau de revenu au Luxembourg et la situation economique individuelle, pas selon un bareme fixe.Les autorités publiques luxembourgeoises (communes, ministeres, établissements publics) relevent du choix du legislateur national quant a l'assujettissement aux amendes.L'amende administrative n'epuise pas les autres pouvoirs de l'ILR : injonctions, suspension de certification, interdiction temporaire de fonctions dirigeantes (art. 32 NIS 2) restent cumulables.La cartographie capitalistique devient une pièce du dossier de défense : démontrer qu'une filiale agit en autonomie reelle peut limiter l'assiette de calcul.Comment Luxgap automatise ce risqueNotre Luxgap Fine Exposure Simulator calcule en temps reel l'amende NIS 2 maximale a laquelle votre groupe est exposé, en appliquant la doctrine unité economique des articles 101 et 102 TFUE sur votre périmètre consolide reel. L'agent IA lit vos comptes consolides deposes au RCS Luxembourg, vos rapports annuels groupe, vos participations declarees, et reconstruit automatiquement l'arbre capitalistique qu'utilisera l'ILR pour calculer 2% du CA mondial.Reconstruit l'arbre de participation complet via le RCS, la BCE et les filiales étrangères declarees, sans saisie manuelle.Calcule trois scénarios d'amende (entité seule, sous-groupe metier, groupe consolide) avec la jurisprudence concurrence appliquee par analogie.Detecte les indices d'autonomie reelle d'une filiale (gouvernance distincte, comptes separes, conseil d'administration independant) exploitables comme argument de défense.Simule l'impact financier d'une notification d'incident article 23 NIS 2 sur la valorisation du groupe et sur les covenants bancaires.Produit un rapport PDF horodate, opposable a l'ILR lors d'un contrôle, qui documente votre compréhension de votre exposition et les mesures de proportionnalite engagees.Alerte le COMEX des qu'une opération M&A modifie l'assiette de calcul (acquisition, cession, restructuration).Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équip...

Considérant 130 NIS 2 — Considérant 130

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 130

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(130)

Lorsqu’une amende administrative est imposée à une entité essentielle ou importante qui est une entreprise, le terme «entreprise» devrait, à cette fin, être compris comme une entreprise conformément aux articles 101 et 102 du traité sur le fonctionnement de l’Union européenne. Lorsqu’une amende administrative est imposée à une personne qui n’est pas une entreprise, l’autorité compétente devrait tenir compte, lorsqu’elle examine quel serait le montant approprié de l’amende, du niveau général des revenus dans l’État membre ainsi que de la situation économique de la personne en cause. Il devrait appartenir aux États membres de déterminer si et dans quelle mesure les autorités publiques devraient faire l’objet d’amendes administratives. L’imposition d’une amende administrative n’affecte pas l’exercice d’autres pouvoirs des autorités compétentes ou l’imposition d’autres sanctions prévues dans les dispositions nationales transposant la présente directive.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité competente pour infliger les amendes administratives NIS 2. Le legislateur luxembourgeois a précisé le sort des entités publiques : les communes, ministeres et établissements publics qualifiés d'entités essentielles (administration publique annexe I) sont assujettis aux mesures correctives et aux injonctions de l'ILR, avec un regime d'amende module selon leur nature.

Pratique Luxgap : pour les groupes dont la maison-mere est une holding luxembourgeoise (SOPARFI), documentez préalablement la réalité opérationnelle de chaque filiale (gouvernance, comptes, décisions stratégiques) pour argumenter l'autonomie devant l'ILR et reduire l'assiette de calcul des 2%.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 130 oriente l'ILR sur la manière de calibrer une amende administrative NIS 2 : si l'entité est une entreprise au sens des articles 101 et 102 TFUE, l'autorité raisonne en chiffre d'affaires consolide du groupe economique, pas du seul véhicule juridique sanctionné. Le piège concret : croire que filialiser une activité critique dans une SARL au capital minimal protégé le groupe. L'ILR appliquera la notion d'unité economique et calculera 2% du CA mondial consolide de la maison-mere, comme la Commission le fait en droit de la concurrence.

Ce que change ce considérant pour votre gouvernance

La structure juridique de votre entité essentielle ou importante ne protégé pas du calcul groupe : holding luxembourgeoise + filiale opérationnelle = une seule entreprise au sens 101/102 TFUE.
Pour les personnes physiques sanctionnées (dirigeants, RSSI), l'ILR module selon le niveau de revenu au Luxembourg et la situation economique individuelle, pas selon un bareme fixe.
Les autorités publiques luxembourgeoises (communes, ministeres, établissements publics) relevent du choix du legislateur national quant a l'assujettissement aux amendes.
L'amende administrative n'epuise pas les autres pouvoirs de l'ILR : injonctions, suspension de certification, interdiction temporaire de fonctions dirigeantes (art. 32 NIS 2) restent cumulables.
La cartographie capitalistique devient une pièce du dossier de défense : démontrer qu'une filiale agit en autonomie reelle peut limiter l'assiette de calcul.

Comment Luxgap automatise ce risque

Notre Luxgap Fine Exposure Simulator calcule en temps reel l'amende NIS 2 maximale a laquelle votre groupe est exposé, en appliquant la doctrine unité economique des articles 101 et 102 TFUE sur votre périmètre consolide reel. L'agent IA lit vos comptes consolides deposes au RCS Luxembourg, vos rapports annuels groupe, vos participations declarees, et reconstruit automatiquement l'arbre capitalistique qu'utilisera l'ILR pour calculer 2% du CA mondial.

Reconstruit l'arbre de participation complet via le RCS, la BCE et les filiales étrangères declarees, sans saisie manuelle.
Calcule trois scénarios d'amende (entité seule, sous-groupe metier, groupe consolide) avec la jurisprudence concurrence appliquee par analogie.
Detecte les indices d'autonomie reelle d'une filiale (gouvernance distincte, comptes separes, conseil d'administration independant) exploitables comme argument de défense.
Simule l'impact financier d'une notification d'incident article 23 NIS 2 sur la valorisation du groupe et sur les covenants bancaires.
Produit un rapport PDF horodate, opposable a l'ILR lors d'un contrôle, qui documente votre compréhension de votre exposition et les mesures de proportionnalite engagees.
Alerte le COMEX des qu'une opération M&A modifie l'assiette de calcul (acquisition, cession, restructuration).

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre structure capitalistique reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 130

Ils nous font confiance

Avant de discuter