Je dois mettre mon organisation luxembourgeoise en conformité au considérant 136 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 136 NIS 2 — Considérant 136

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 136

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(136)

La présente directive devrait établir des règles de coopération entre les autorités compétentes et les autorités de contrôle au titre du règlement (UE) 2016/679 pour traiter les violations de la présente directive touchant aux données à caractère personnel.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) désigné explicitement l'ILR comme autorité nationale NIS 2 et organise la cooperation avec la CNPD au sens du considérant 136. Les deux autorités peuvent echanger des informations couvertes par le secret professionnel dans le cadre de leurs missions respectives, ce qui signifié qu'une notification a l'une est susceptible d'être transmise a l'autre.

Pratique Luxgap : nous recommandons de toujours préparer les deux dossiers (ILR et CNPD) en parallele des le déclenchement de la cellule de crise, même si le caractère personnel des données n'est pas encore confirme, pour eviter le retard sur l'horloge CNPD 72h.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 136 force une cooperation entre l'ILR (autorité NIS 2 au Luxembourg) et la CNPD (autorité RGPD) sur les incidents touchant aux données personnelles. En pratique, beaucoup d'entités essentielles notifient l'ILR sous 24h pour un incident NIS 2, puis oublient la notification CNPD sous 72h prévue a l'article 33 RGPD, ou inversement. Les deux autorités echangent desormais leurs constats : une notification incomplete cote ILR peut déclencher une instruction CNPD sur les mêmes faits, avec un cumul possible de sanctions NIS 2 (jusqu'à 10 M'EUR ou 2% du CA) et RGPD (jusqu'à 20 M'EUR ou 4% du CA).

La double notification : un seul incident, deux regimes, deux horloges

Le considérant 136 ne fusionne pas les regimes, il les coordonne. Concretement, un même ransomware sur une entité essentielle déclenche trois notifications distinctes avec des délais qui ne s'alignent pas :

Alerte précoce ILR sous 24h (NIS 2 article 23).
Notification d'incident ILR sous 72h avec évaluation initiale (NIS 2 article 23).
Notification CNPD sous 72h si des données personnelles sont touchees (RGPD article 33).
Rapport final ILR sous 1 mois (NIS 2 article 23).
Communication aux personnes concernees sans délai si risque eleve (RGPD article 34).

Le piège : les équipes IR remplissent un seul formulaire interne et laissent les juristes deduire les obligations a posteriori. Résultat, l'horloge CNPD demarre souvent trop tard, car personne ne qualifié l'incident comme violation de données dans les premieres heures.

Comment Luxgap automatise ce risque

Notre Luxgap Dual-Track Incident Orchestrator elimine le risque d'oubli d'une autorité en pilotant en parallele les deux horloges (ILR et CNPD) des la détection de l'incident. L'outil s'intégré nativement a Microsoft Sentinel, CrowdStrike Falcon, Wazuh et votre SIEM pour ingerer l'alerte technique, puis un agent LLM spécialisé qualifié automatiquement l'incident selon les deux regimes en croisant les IOC, les systèmes touches et la cartographie des traitements declares au registre article 30.

Detecte des l'alerte SIEM si l'incident touche un système contenant des données personnelles, en se basant sur votre cartographie des traitements et vos tags de classification M365 Purview.
Déclenche deux chronometres distincts (ILR 24h/72h/1 mois et CNPD 72h) avec relances Teams ou Slack a J-12h, J-6h et J-2h sur chaque echeance.
Genere automatiquement les deux formulaires preremplis : notification incident ILR au format attendu et notification violation CNPD au format luxembourgeois, en evitant la duplication des champs communs.
Synchronise les deux dossiers : une mise à jour cote ILR (nouveau périmètre, nouvelles données compromises) propage automatiquement l'information dans le dossier CNPD avec horodatage cryptographique.
Produit un rapport PDF scelle opposable aux deux autorités, demontrant la coherence des deux notifications et la conformité au considérant 136.
Archive l'ensemble dans un coffre-fort numérique hébergé au Luxembourg (eBRC ou LuxConnect) pour preuve en cas d'inspection croisee.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent un exercice de simulation sur un scénario ransomware reel, avec un audit blanc gratuit sous 48h pour mesurer la maturite actuelle de votre processus de double notification.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 136

Ils nous font confiance

Avant de discuter