Je dois mettre mon organisation luxembourgeoise en conformité au considérant 135 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 135 eclaire un mécanisme d'entraide entre autorités nationales qui prend de court les entités multi-juridictionnelles. Concretement, si votre maison-mere est au Luxembourg mais que vous operez une infrastructure cloud en Irlande, l'autorité irlandaise peut demander a l'ILR de déclencher une inspection chez vous. Les entités essentielles ou importantes qui pensent ne dependre que de leur autorité nationale principale decouvrent souvent trop tard qu'elles sont controlables par toute autorité NIS 2 d'un état membre ou elles ont un réseau ou un système d'information. Le piège : avoir une documentation cybersécurité homogene cote LU mais incoherente avec la réalité opérationnelle d'un site en DE ou en BE.Ce que l'entraide transfrontalière change pour votre gouvernanceToute filiale, succursale ou simple datacenter hébergé dans un autre état membre devient un point d'entree pour une inspection coordonnee par l'ILR a la demande de l'homologue étranger.Les délais de notification d'incident (24h alerte initiale, 72h notification, 1 mois rapport final) s'appliquent en parallele dans chaque juridiction concernee, pas en cascade.Une mesure d'exécution prise par un autre état membre (ordre d'audit, injonction, sanction provisoire) doit être executee localement par l'ILR si la demande d'assistance mutuelle est validee.La documentation de cybersécurité (politique SMSI, registre des risques, plan de continuite) doit être coherente entre toutes les implantations, sous peine de contradictions exploitees lors d'une inspection coordonnee.Les sous-traitants critiques (cloud, MSP, SOC externalisé) situes dans un autre état membre tombent egalement dans le champ d'une demande d'entraide.Comment Luxgap automatise ce risqueNotre Luxgap Cross-Border Exposure Map cartographie en temps reel l'ensemble de vos points de contact réglementaires NIS 2 dans l'UE et calcule, pour chaque état membre, votre exposition reelle a une demande d'entraide mutuelle. L'outil se branche sur votre Azure AD, AWS Organizations, Google Cloud Resource Manager, vos registres KBO/RCS et vos contrats fournisseurs Odoo pour materialiser la geographie effective de vos systèmes d'information, et non celle declaree dans votre dossier ILR.Detecte automatiquement chaque ressource cloud, datacenter ou succursale dans un état membre via les API Azure, AWS, GCP et OVH, avec géolocalisation précisé au niveau region/AZ.Cartographie chaque autorité NIS 2 competente (BSI en DE, ANSSI en FR, CCB en BE, NCSC-NL aux Pays-Bas, ILR au LU) susceptible d'emettre une demande d'entraide vous concernant.Compare votre documentation cybersécurité locale aux exigences de chaque autorité nationale et signale les incohérences exploitables lors d'une inspection coordonnee.Genere un dossier d'assistance mutuelle prefilled pret a transmettre a l'ILR si une demande étrangère arrive, avec traduction certifiee des pièces critiques.Alerte par Teams ou email des qu'une nouvelle implantation déclenche...

Considérant 135 NIS 2 — Considérant 135

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 135

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(135)

Afin d’assurer une supervision et une exécution efficaces, notamment lorsqu’une situation revêt une dimension transfrontière, l’État membre qui a reçu une demande d’assistance mutuelle devraient, dans les limites de cette demande, prendre des mesures de supervision et d’exécution appropriées à l’égard de l’entité faisant l’objet de cette demande et qui fournit des services ou possède un réseau et un système d’information sur le territoire dudit État membre.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025)

Au Luxembourg, l'ILR est l'autorité désignée pour recevoir et executer les demandes d'assistance mutuelle NIS 2 emises par ses homologues européens. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, habilite explicitement l'ILR a mener inspections, contrôles documentaires et mesures d'exécution sur le territoire luxembourgeois pour le compte d'une autorité étrangère, et ce dans les mêmes conditions qu'une procédure nationale.

Pratique Luxgap : preparez un dossier de coherence transfrontalière unique pour toutes vos implantations UE, traduit en français et en anglais, et tenu a disposition de l'ILR sous 48h en cas de demande d'entraide.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 135 eclaire un mécanisme d'entraide entre autorités nationales qui prend de court les entités multi-juridictionnelles. Concretement, si votre maison-mere est au Luxembourg mais que vous operez une infrastructure cloud en Irlande, l'autorité irlandaise peut demander a l'ILR de déclencher une inspection chez vous. Les entités essentielles ou importantes qui pensent ne dependre que de leur autorité nationale principale decouvrent souvent trop tard qu'elles sont controlables par toute autorité NIS 2 d'un état membre ou elles ont un réseau ou un système d'information. Le piège : avoir une documentation cybersécurité homogene cote LU mais incoherente avec la réalité opérationnelle d'un site en DE ou en BE.

Ce que l'entraide transfrontalière change pour votre gouvernance

Toute filiale, succursale ou simple datacenter hébergé dans un autre état membre devient un point d'entree pour une inspection coordonnee par l'ILR a la demande de l'homologue étranger.
Les délais de notification d'incident (24h alerte initiale, 72h notification, 1 mois rapport final) s'appliquent en parallele dans chaque juridiction concernee, pas en cascade.
Une mesure d'exécution prise par un autre état membre (ordre d'audit, injonction, sanction provisoire) doit être executee localement par l'ILR si la demande d'assistance mutuelle est validee.
La documentation de cybersécurité (politique SMSI, registre des risques, plan de continuite) doit être coherente entre toutes les implantations, sous peine de contradictions exploitees lors d'une inspection coordonnee.
Les sous-traitants critiques (cloud, MSP, SOC externalisé) situes dans un autre état membre tombent egalement dans le champ d'une demande d'entraide.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border Exposure Map cartographie en temps reel l'ensemble de vos points de contact réglementaires NIS 2 dans l'UE et calcule, pour chaque état membre, votre exposition reelle a une demande d'entraide mutuelle. L'outil se branche sur votre Azure AD, AWS Organizations, Google Cloud Resource Manager, vos registres KBO/RCS et vos contrats fournisseurs Odoo pour materialiser la geographie effective de vos systèmes d'information, et non celle declaree dans votre dossier ILR.

Detecte automatiquement chaque ressource cloud, datacenter ou succursale dans un état membre via les API Azure, AWS, GCP et OVH, avec géolocalisation précisé au niveau region/AZ.
Cartographie chaque autorité NIS 2 competente (BSI en DE, ANSSI en FR, CCB en BE, NCSC-NL aux Pays-Bas, ILR au LU) susceptible d'emettre une demande d'entraide vous concernant.
Compare votre documentation cybersécurité locale aux exigences de chaque autorité nationale et signale les incohérences exploitables lors d'une inspection coordonnee.
Genere un dossier d'assistance mutuelle prefilled pret a transmettre a l'ILR si une demande étrangère arrive, avec traduction certifiee des pièces critiques.
Alerte par Teams ou email des qu'une nouvelle implantation déclenche un seuil de qualification d'entité essentielle ou importante dans un autre état membre.
Produit un rapport PDF horodate opposable a l'ILR, demontrant la coherence transfrontalière de votre dispositif NIS 2.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre européen. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition transfrontalière avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 135

Ils nous font confiance

Avant de discuter