Je dois mettre mon organisation luxembourgeoise en conformité au considérant 132 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 132 laisse aux états membres une marge pour completer le regime de sanctions NIS 2 par des sanctions pénales ou administratives nationales, au-dela des plafonds harmonises (10 M'EUR ou 2% du CA). En pratique, beaucoup d'entités essentielles et importantes preparent leur conformité en regardant uniquement les amendes ENISA / Commission, et decouvrent trop tard que l'ILR et le droit pénal luxembourgeois peuvent ajouter des qualifications additionnelles (entrave, fausse déclaration, dissimulation d'incident) avec responsabilité personnelle des dirigeants.Ce que ce considérant change concretementLa sanction NIS 2 n'est pas un plafond unique : c'est une combinaison entre les amendes administratives harmonisees et les sanctions nationales additionnelles (pénales, civiles, professionnelles).La violation grave n'est pas definie au niveau UE : chaque état membre fixe son curseur, ce qui cree un risque d'asymetrie pour les groupes multi-pays.Les dirigeants peuvent être vises personnellement au titre du droit national, en complement de la sanction de l'entité (art. 32 et 33 NIS 2 cotes UE, droit pénal des affaires cote LU).Le defaut de notification d'incident sous 24h / 72h peut basculer d'une simple amende administrative vers une qualification de dissimulation si les preuves de retard sont reconstituables.L'ILR, lors d'une inspection, peut transférer le dossier au parquet si elle identifié des elements relevant du pénal (faux, entrave, mise en danger d'OIV).Comment Luxgap automatise ce risqueNotre Luxgap Sanction Exposure Forecaster transforme l'incertitude du considérant 132 en cartographie chiffree de votre exposition reelle, juridiction par juridiction. L'outil aspire en continu vos journaux d'incident, vos notifications ILR, vos délais de remédiation Defender / Sentinel / CrowdStrike et vos contrats fournisseurs pour calculer, pour chaque scénario d'infraction, le cumul potentiel amende administrative UE + sanction nationale LU + responsabilité personnelle dirigeant.Detecte en temps reel les ecarts de délai de notification (24h, 72h, rapport final 1 mois) sur vos tickets ServiceNow et Jira, et alerte avant qu'un retard ne devienne qualifiable de violation grave.Calcule un score d'exposition chiffre en EUR par scénario (defaut de mesures techniques, defaut de notification, entrave a contrôle ILR) en croisant le CA consolide et les multiplicateurs NIS 2.Classifie chaque manquement detecte selon qu'il relevé probablement de l'administratif ILR ou peut basculer au pénal (entrave, faux, dissimulation) sur la base de la grille parquet luxembourgeoise.Genere un rapport d'exposition trimestriel horodate, opposable au conseil d'administration, qui materialise la diligence des dirigeants exigee par l'article 20 NIS 2.Produit une note d'alerte au COMEX des qu'un événement detecte franchit le seuil probable de déclenchement de poursuites pénales individuelles.Suit l'évolution de la jurisprudence ILR et des décisions publiees par...

Considérant 132 NIS 2 — Considérant 132

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 132

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(132)

Lorsque la présente directive n’harmonise pas les sanctions administratives ou, si nécessaire dans d’autres circonstances, par exemple en cas de violation grave de la présente directive, les États membres devraient mettre en œuvre un système qui prévoit des sanctions effectives, proportionnées et dissuasives. La nature de ces sanctions et le fait qu’elles soient pénales ou administratives devraient être déterminés par le droit national.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, articule le regime de sanctions NIS 2 autour de l'ILR pour le volet administratif, avec possibilite de transmission au parquet en cas de qualification pénale (entrave a contrôle, fausse déclaration, dissimulation d'incident). Les dirigeants des entités essentielles peuvent être tenus personnellement responsables sur la base du droit pénal des affaires luxembourgeois, en complement des amendes administratives plafonnees a 10 M'EUR ou 2% du CA mondial.

Pratique Luxgap : nous recommandons de documenter formellement, dans une charte de gouvernance approuvee par le conseil, le processus d'escalade incident et la chaîne de notification ILR sous 24h / 72h, pour neutraliser le risque de requalification en violation grave ou en dissimulation lors d'un contrôle ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 132 laisse aux états membres une marge pour completer le regime de sanctions NIS 2 par des sanctions pénales ou administratives nationales, au-dela des plafonds harmonises (10 M'EUR ou 2% du CA). En pratique, beaucoup d'entités essentielles et importantes preparent leur conformité en regardant uniquement les amendes ENISA / Commission, et decouvrent trop tard que l'ILR et le droit pénal luxembourgeois peuvent ajouter des qualifications additionnelles (entrave, fausse déclaration, dissimulation d'incident) avec responsabilité personnelle des dirigeants.

Ce que ce considérant change concretement

La sanction NIS 2 n'est pas un plafond unique : c'est une combinaison entre les amendes administratives harmonisees et les sanctions nationales additionnelles (pénales, civiles, professionnelles).
La violation grave n'est pas definie au niveau UE : chaque état membre fixe son curseur, ce qui cree un risque d'asymetrie pour les groupes multi-pays.
Les dirigeants peuvent être vises personnellement au titre du droit national, en complement de la sanction de l'entité (art. 32 et 33 NIS 2 cotes UE, droit pénal des affaires cote LU).
Le defaut de notification d'incident sous 24h / 72h peut basculer d'une simple amende administrative vers une qualification de dissimulation si les preuves de retard sont reconstituables.
L'ILR, lors d'une inspection, peut transférer le dossier au parquet si elle identifié des elements relevant du pénal (faux, entrave, mise en danger d'OIV).

Comment Luxgap automatise ce risque

Notre Luxgap Sanction Exposure Forecaster transforme l'incertitude du considérant 132 en cartographie chiffree de votre exposition reelle, juridiction par juridiction. L'outil aspire en continu vos journaux d'incident, vos notifications ILR, vos délais de remédiation Defender / Sentinel / CrowdStrike et vos contrats fournisseurs pour calculer, pour chaque scénario d'infraction, le cumul potentiel amende administrative UE + sanction nationale LU + responsabilité personnelle dirigeant.

Detecte en temps reel les ecarts de délai de notification (24h, 72h, rapport final 1 mois) sur vos tickets ServiceNow et Jira, et alerte avant qu'un retard ne devienne qualifiable de violation grave.
Calcule un score d'exposition chiffre en EUR par scénario (defaut de mesures techniques, defaut de notification, entrave a contrôle ILR) en croisant le CA consolide et les multiplicateurs NIS 2.
Classifie chaque manquement detecte selon qu'il relevé probablement de l'administratif ILR ou peut basculer au pénal (entrave, faux, dissimulation) sur la base de la grille parquet luxembourgeoise.
Genere un rapport d'exposition trimestriel horodate, opposable au conseil d'administration, qui materialise la diligence des dirigeants exigee par l'article 20 NIS 2.
Produit une note d'alerte au COMEX des qu'un événement detecte franchit le seuil probable de déclenchement de poursuites pénales individuelles.
Suit l'évolution de la jurisprudence ILR et des décisions publiees par les autorités homologues (BSI, ANSSI, NCSC) pour recalibrer les seuils de gravité chaque trimestre.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos incidents reels des 12 derniers mois, avec un audit blanc gratuit sous 48h pour chiffrer votre exposition cumulee avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 132

Ils nous font confiance

Avant de discuter