Je dois mettre mon organisation luxembourgeoise en conformité au considérant 131 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 131 NIS 2 — Considérant 131

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 131

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(131)

Les États membres devraient pouvoir déterminer le régime des sanctions pénales applicables en cas de violations des dispositions nationales transposant la présente directive. Toutefois, l’imposition de sanctions pénales en cas de violation de ces dispositions nationales et l’imposition de sanctions administratives connexes ne devraient pas entraîner la violation du principe non bis in idem tel qu’il a été interprété par la Cour de justice de l’Union européenne.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR le pouvoir d'infliger les sanctions administratives NIS 2 (jusqu'à 10 M'EUR ou 2% du CA mondial pour les entités essentielles). Les infractions pénales connexes (faux, obstruction d'inspection, mise en danger) relevent du parquet de Luxembourg sur la base du Code pénal. La coordination ILR / parquet n'est pas codifiee : elle repose sur la pratique et sur l'invocation par la défense du principe ne bis in idem.

Pratique Luxgap : exigez une note de coordination ecrite des le premier acte d'enquête, et conservez la preuve horodatee de toutes vos notifications ILR pour bloquer toute seconde poursuite sur les mêmes faits.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 131 ouvre la porté aux sanctions pénales nationales, mais pose une limite cruciale : ne bis in idem. En pratique, une entité essentielle ou importante peut être poursuivie penalement par le parquet ET sanctionnée administrativement par l'ILR pour les mêmes faits, ce qui cree un risque reel de double peine. La CJUE (arrets Menci et bpost) exige une coordination procedurale stricte entre autorités, sous peine de nullite de la seconde sanction.

Les reflexes a intégrer dans votre gouvernance cyber

Cartographier les faits susceptibles de double qualification : négligence grave dans la gestion d'un incident, defaut de notification a l'ILR, dissimulation de breche, obstruction d'inspection.
Documenter dans votre playbook incident la chronologie précisé des faits, des décisions du management body et des notifications, pour pouvoir invoquer ne bis in idem si nécessaire.
Anticiper la coordination ILR / parquet de Luxembourg : exiger de votre conseil qu'il informe immediatement l'autorité administrative de toute procédure pénale parallele, et vice-versa.
Former les dirigeants : la responsabilité personnelle prévue par NIS 2 (article 20) peut se cumuler avec une responsabilité pénale nationale pour faux, obstruction ou mise en danger.
Prévoir une clause de coordination dans vos polices D&O cyber, beaucoup excluent les sanctions pénales mais couvrent les frais de défense.

Comment Luxgap automatise ce risque

Notre Luxgap Dual Sanction Shield transforme le risque flou de double sanction administrative et pénale en une cartographie opposable et en un protocole de défense pret a degainer. L'outil ingere vos tickets d'incident (ServiceNow, Jira, TheHive), vos notifications ILR, vos PV de conseil d'administration et vos échanges avec le parquet pour reconstituer une chronologie cryptographiquement scellee, mobilisable des le premier acte d'enquête.

Detecte automatiquement les faits a double qualification pénale et administrative en croisant les obligations de la loi du 28 juillet 2023 avec le Code pénal luxembourgeois (faux, obstruction, mise en danger).
Genere une chronologie horodatee et signee electroniquement de chaque incident, opposable devant l'ILR comme devant le jugé d'instruction.
Alerte le DPO et le CISO des qu'une procédure parallele est detectee (courrier parquet, convocation ILR) et déclenche le protocole ne bis in idem.
Produit un memo juridique pre-redige citant Menci (C-524/15) et bpost (C-117/20), pret a être transmis a votre conseil pénal.
Archive l'ensemble dans un coffre WORM 10 ans, conforme aux exigences de preuve devant les juridictions luxembourgeoises.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos incidents reels, avec un audit blanc gratuit sous 48h pour mesurer votre exposition pénale et administrative avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 131

Ils nous font confiance

Avant de discuter