Je dois mettre mon organisation luxembourgeoise en conformité au considérant 138 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 138 annonce que la Commission pourra, par actes délégués, imposer a certaines catégories d'entités essentielles et importantes d'utiliser des produits, services et processus TIC certifies au titre d'un schema européen de certification (Cybersecurity Act, schemas EUCC, EUCS, EU5G). Le piège : les organisations attendent que ces actes délégués soient publies pour s'y interesser, et se retrouvent prises de court avec un parc TIC non certifie qu'il faut remplacer en urgence. L'ILR contrôle deja la coherence des choix technologiques avec l'article 21 de la loi du 28 juillet 2023, et l'absence d'anticipation des futures exigences de certification devient un facteur aggravant en cas d'incident.Anticiper la vague de certification européenneLes schemas EUCC (Common Criteria), EUCS (cloud) et le futur schema 5G sont les premiers concernes : tout cloud, HSM, firewall ou solution d'identité critique sera potentiellement visé.Les contrats fournisseurs signes en 2024-2025 sans clause de certification future creent une dette technique : prévoir une clause d'engagement a obtenir la certification européenne des sa disponibilite pour le schema applicable.Cartographier des aujourd'hui les produits TIC critiques par schema potentiel (EUCC pour hardware, EUCS pour SaaS, etc.) pour identifier les futurs angles morts.Surveiller le registre ENISA des schemas adoptes et des produits certifies : c'est la source officielle qui declenchera les obligations.Intégrer la certification européenne comme critère d'achat prioritaire pour tout renouvellement de contrat infrastructure, devant les certifications privées historiques (FedRAMP, SOC 2).Comment Luxgap automatise ce risqueNotre Luxgap Certification Radar transforme la veille passive sur les schemas européens de certification en moteur de décision d'achat opposable. L'outil croise en continu le registre ENISA des schemas adoptes, votre CMDB (ServiceNow, Lansweeper, Microsoft Intune), vos contrats fournisseurs Odoo ou DocuSign, et vos depenses cloud (AWS, Azure, GCP) pour produire une cartographie vivante du delta entre votre parc TIC reel et les exigences de certification à venir.Detecte automatiquement chaque produit, service et processus TIC en production via intégration native CMDB et SSO, sans déclaratif manuel du RSSI.Croise ce parc avec le registre ENISA des schemas européens (EUCC, EUCS, EU5G) et leur calendrier d'adoption pour identifier les actifs futurs cibles d'une obligation.Calcule un score d'exposition par actif : criticite NIS 2, schema applicable, statut de certification du fournisseur, date probable d'obligation.Genere des clauses contractuelles types a inserer dans les renouvellements pour engager les fournisseurs sur l'obtention de la certification européenne avant un horizon donne.Alerte par Teams ou email des qu'un acte délégué de la Commission est publie et impacte une catégorie d'entités incluant la votre.Produit un dossier PDF horodate opposable a l'ILR demontrant q...

Considérant 138 NIS 2 — Considérant 138

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 138

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(138)

Afin de garantir un niveau commun élevé de cybersécurité dans l’ensemble de l’Union sur la base de la présente directive, il convient de déléguer à la Commission le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne en vue de compléter la présente directive en précisant quelles catégories d’entités essentielles et importantes doivent être tenues d’utiliser certains produits TIC, services TIC et processus TIC certifiés ou d’obtenir un certificat dans le cadre d’un régime européen de certification de cybersécurité. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (22). En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est désigné par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) comme autorité competente pour contrôler le respect des obligations de cybersécurité, y compris les futures exigences de certification européenne qui decouleront des actes délégués vises au considérant 138. L'ILR pourra exiger la preuve que les produits TIC critiques d'une entité essentielle ou importante sont conformes aux schemas EUCC et EUCS des leur entree en vigueur obligatoire.

Pratique Luxgap : engagez des maintenant vos fournisseurs cloud et infrastructure (POST, LuxConnect, eBRC, Proximus, Telindus) par avenant contractuel a obtenir la certification européenne applicable, plutot que d'attendre la publication des actes délégués qui imposera un remplacement dans l'urgence.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 138 annonce que la Commission pourra, par actes délégués, imposer a certaines catégories d'entités essentielles et importantes d'utiliser des produits, services et processus TIC certifies au titre d'un schema européen de certification (Cybersecurity Act, schemas EUCC, EUCS, EU5G). Le piège : les organisations attendent que ces actes délégués soient publies pour s'y interesser, et se retrouvent prises de court avec un parc TIC non certifie qu'il faut remplacer en urgence. L'ILR contrôle deja la coherence des choix technologiques avec l'article 21 de la loi du 28 juillet 2023, et l'absence d'anticipation des futures exigences de certification devient un facteur aggravant en cas d'incident.

Anticiper la vague de certification européenne

Les schemas EUCC (Common Criteria), EUCS (cloud) et le futur schema 5G sont les premiers concernes : tout cloud, HSM, firewall ou solution d'identité critique sera potentiellement visé.
Les contrats fournisseurs signes en 2024-2025 sans clause de certification future creent une dette technique : prévoir une clause d'engagement a obtenir la certification européenne des sa disponibilite pour le schema applicable.
Cartographier des aujourd'hui les produits TIC critiques par schema potentiel (EUCC pour hardware, EUCS pour SaaS, etc.) pour identifier les futurs angles morts.
Surveiller le registre ENISA des schemas adoptes et des produits certifies : c'est la source officielle qui declenchera les obligations.
Intégrer la certification européenne comme critère d'achat prioritaire pour tout renouvellement de contrat infrastructure, devant les certifications privées historiques (FedRAMP, SOC 2).

Comment Luxgap automatise ce risque

Notre Luxgap Certification Radar transforme la veille passive sur les schemas européens de certification en moteur de décision d'achat opposable. L'outil croise en continu le registre ENISA des schemas adoptes, votre CMDB (ServiceNow, Lansweeper, Microsoft Intune), vos contrats fournisseurs Odoo ou DocuSign, et vos depenses cloud (AWS, Azure, GCP) pour produire une cartographie vivante du delta entre votre parc TIC reel et les exigences de certification à venir.

Detecte automatiquement chaque produit, service et processus TIC en production via intégration native CMDB et SSO, sans déclaratif manuel du RSSI.
Croise ce parc avec le registre ENISA des schemas européens (EUCC, EUCS, EU5G) et leur calendrier d'adoption pour identifier les actifs futurs cibles d'une obligation.
Calcule un score d'exposition par actif : criticite NIS 2, schema applicable, statut de certification du fournisseur, date probable d'obligation.
Genere des clauses contractuelles types a inserer dans les renouvellements pour engager les fournisseurs sur l'obtention de la certification européenne avant un horizon donne.
Alerte par Teams ou email des qu'un acte délégué de la Commission est publie et impacte une catégorie d'entités incluant la votre.
Produit un dossier PDF horodate opposable a l'ILR demontrant que vous avez anticipe les futures obligations de certification, element fort de défense en cas d'inspection.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration sur votre périmètre reel et nos équipes preparent un audit blanc gratuit sous 48h pour mesurer l'exposition de votre parc TIC aux futurs schemas européens avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 138

Ils nous font confiance

Avant de discuter