Je dois mettre mon organisation luxembourgeoise en conformité au considérant 134 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 134 NIS 2 — Considérant 134

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 134

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(134)

Afin de garantir le respect par les entités des obligations qui leur incombent en vertu de la présente directive, les États membres devraient coopérer et se prêter mutuellement assistance en ce qui concerne les mesures de supervision et d’exécution, en particulier lorsqu’une entité fournit des services dans plus d’un État membre ou lorsque son réseau et ses systèmes d’information sont situés dans un État membre autre que celui où elle fournit des services. Lorsqu’une autorité compétente fournit une assistance qui lui est demandée, elle devrait prendre des mesures de supervision ou d’exécution conformément au droit national. Afin d’assurer le bon fonctionnement de l’assistance mutuelle au titre de la présente directive, les autorités compétentes devraient faire appel au groupe de coopération pour examiner les divers cas et les demandes d’assistance particulières.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025)

Au Luxembourg, l'ILR est le point de contact unique pour les demandes d'assistance mutuelle entrantes et sortantes au titre de l'article 37 NIS 2. La loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) habilite l'ILR a executer sur le territoire luxembourgeois les mesures de supervision demandees par une autorité homologue d'un autre état membre, et a saisir le Groupe de cooperation NIS pour arbitrer les cas transfrontaliers complexes.

Pratique Luxgap : si vous êtes une entité essentielle ou importante luxembourgeoise avec des opérations en France, Belgique ou Allemagne, designez un point de contact unique cybersécurité en interne et alignez vos déclarations ILR sur vos déclarations ANSSI / CCB / BSI pour eviter toute incohérence detectable en quelques jours.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'entités pensent qu'être supervisees par l'ILR au Luxembourg suffit a couvrir leurs activités dans toute l'UE. Faux. Le considérant 134 institue une cooperation transfrontalière active entre autorités : l'ILR peut demander a la BSI allemande, l'ANSSI française ou l'ACN italienne d'inspecter vos systèmes situes chez eux, ou inversement. En pratique, une entité essentielle dont le SOC est hébergé chez un prestataire en Irlande peut subir une inspection coordonnee ENISA / NCSC-IE / ILR sans pouvoir cloisonner les preuves par juridiction.

Ce que ce considérant change pour vous

Votre cartographie d'infrastructure doit indiquer la localisation physique reelle de chaque système critique (datacenter, region cloud, BCP), pas seulement le pays de facturation.
Vos preuves de conformité (politiques, logs, plans de réponse) doivent être disponibles en anglais, langue de travail des échanges inter-autorites au sein du Groupe de cooperation NIS.
Une inspection ILR peut déclencher en parallele une mesure d'exécution dans un autre état membre via le mécanisme d'assistance mutuelle : vous ne pouvez pas negocier separement avec chaque autorité.
La coherence entre vos déclarations LU (ILR) et vos déclarations dans les autres pays ou vous operez devient critique : une contradiction est detectee en quelques jours via le Groupe de cooperation.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border Evidence Vault elimine le risque de divergence entre autorités NIS 2 européennes en consolidant une source unique de vérité multi-juridictions, prete a être presentee a l'ILR comme a la BSI ou l'ANSSI en moins de 24 heures. L'outil ingere en continu vos inventaires Azure Resource Graph, AWS Config, Defender for Cloud et CMDB ServiceNow pour cartographier exactement quel système est physiquement ou il est, sous quelle juridiction, et qui est l'autorité competente associee.

Detecte automatiquement chaque ressource cloud ou on-premise selon sa region reelle (eu-west-1, francecentral, germanywestcentral) et la rattache a l'autorité NIS 2 competente correspondante.
Genere un dossier de réponse standardisé bilingue FR/EN par autorité, incluant politique de sécurité, registre d'incidents, mesures techniques article 21 et chaîne de sous-traitance.
Alerte en temps reel quand une ressource critique migre vers une nouvelle juridiction (replication AWS cross-region, bascule DR, ouverture d'un tenant filiale) et déclenche la mise à jour de votre déclaration ILR.
Croise les exigences NIS 2 des differentes transpositions nationales (LU, DE, FR, BE, IE) pour identifier les divergences de seuils et de délais applicables a vos opérations.
Produit un rapport PDF cryptographiquement scelle, horodate et signe, opposable lors d'une inspection coordonnee multi-autorites au titre de l'article 37.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre empreinte géographique. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre infrastructure reelle, avec un audit blanc gratuit sous 48h pour cartographier votre exposition multi-juridictionnelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 134

Ils nous font confiance

Avant de discuter