Je dois mettre mon organisation luxembourgeoise en conformité au considérant 137 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 137 NIS 2 — Considérant 137

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 137

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(137)

La présente directive devrait viser à assurer un niveau de responsabilité important pour les mesures de gestion des risques en matière de cybersécurité et les obligations d’information au niveau des entités essentielles et importantes. Par conséquent, les organes de direction des entités essentielles et importantes devraient approuver les mesures de gestion des risques en matière de cybersécurité et superviser leur mise en œuvre.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR le pouvoir de vérifier l'approbation effective des mesures par l'organe de direction et de prononcer des sanctions administratives pouvant aller jusqu'à la suspension temporaire des fonctions dirigeantes en cas de manquement grave. L'ILR exige en pratique la production des PV de conseil approuvant la politique cyber lors de toute inspection des entités essentielles.

Pratique Luxgap : nous formalisons un kit gouvernance NIS 2 spécifique LU (PV type, charte de responsabilité des dirigeants, registre de formation) directement opposable aux contrôleurs de l'ILR, intégré a votre process de conseil existant.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 137 eclaire l'article 20 de NIS 2 : la responsabilité cybersécurité remonte au conseil d'administration et au comite de direction, pas au seul RSSI. En pratique, l'ILR sanctionné deja les organisations ou les mesures techniques existent mais ou le proces-verbal d'approbation formelle par l'organe de direction est introuvable. La direction ne peut plus se retrancher derrière 'je ne savais pas' : la signature engage personnellement les dirigeants, avec possibilite de suspension temporaire de leurs fonctions selon l'article 32(5) de NIS 2.

Ce que 'approuver et superviser' signifié concretement

Approbation formelle, datee et signee de la politique de gestion des risques cyber par le conseil ou comite de direction, avec PV exploitable lors d'un contrôle ILR.
Revue périodique documentee (trimestrielle minimum) avec ordre du jour, tableau de bord des indicateurs, et décisions tracees.
Formation cybersécurité obligatoire des membres de l'organe de direction (article 20(2) NIS 2), avec attestation individuelle de suivi.
Chaîne d'escalade documentee : qui informe le conseil en cas d'incident significatif, sous quel délai, avec quel niveau de detail.
Budget cyber valide par l'organe de direction et trace dans les delibrations, pas seulement dans un fichier Excel du DSI.

Comment Luxgap automatise ce risque

Notre Luxgap Board Cyber Accountability transforme l'obligation d'approbation et de supervision par l'organe de direction en preuve opposable, sans demander aux administrateurs de devenir des experts techniques. L'outil orchestre le cycle d'approbation, traduit les indicateurs techniques en langage décisionnel compréhensible par un conseil, et produit des PV cryptographiquement scelles que vous presentez directement a l'ILR en cas d'inspection. Il se connecte a vos solutions de gouvernance (Diligent, Nasdaq Boardvantage, Sharepoint) et a votre SOC (Sentinel, Defender, Wazuh, CrowdStrike) pour alimenter automatiquement les tableaux de bord du conseil.

Genere un dossier de seance trimestriel pret a l'emploi avec synthese executive des risques cyber, évolution des indicateurs et décisions a prendre, signe horodate par l'outil.
Traduit les alertes techniques du SOC en langage conseil d'administration, avec gradation business (impact financier, reputationnel, réglementaire).
Suit le parcours de formation cyber obligatoire de chaque administrateur (article 20(2) NIS 2) et alerte sur les echeances de recyclage.
Produit les PV d'approbation des mesures de gestion des risques avec signature électronique qualifiée eIDAS, opposables a l'ILR.
Detecte les angles morts de gouvernance : politique non revue depuis 18 mois, budget cyber non valide en conseil, plan de continuite non teste depuis le dernier mandat.
Genere un rapport personnel de responsabilité pour chaque dirigeant, demontrant sa diligence individuelle en cas de mise en cause au titre de l'article 32(6).

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre gouvernance reelle, avec un audit blanc gratuit sous 48h pour mesurer l'exposition personnelle de vos dirigeants avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 137

Ils nous font confiance

Avant de discuter