Je dois mettre mon organisation luxembourgeoise en conformité au considérant 139 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant prepare le terrain aux actes d'exécution de la Commission qui precisent la forme, le contenu et la procédure des notifications d'incident, ainsi que le seuil de qualification 'important'. En pratique, les entités NIS 2 qui s'appuient sur le texte brut de la directive ratent les implementing acts publies progressivement par la Commission (notamment le règlement d'exécution 2024/2690 pour le numérique) qui durcissent les délais et imposent des formats precis. L'ILR contrôle desormais la conformité a ces formats lors des inspections, et un signalement non conforme au gabarit est traite comme une absence de notification.Ce que ce considérant change concretement pour vousVos procédures internes de notification doivent être parametrables et non figees dans le marbre, car les formats officiels evoluent par actes d'exécution.Le seuil d'incident 'important' n'est pas qu'une lecture de l'article 23 : il est précisé par les actes d'exécution sectoriels qu'il faut surveiller en continu.Les exigences techniques de gestion des risques (article 21) sont raffinees par actes d'exécution sectoriels : energie, santé, infrastructure numérique, cloud, datacenters n'ont pas les mêmes exigences détaillées.Le format machine-to-machine pour les near miss et les cyber threats impose une intégration outillee, pas un simple mail a l'ILR.Toute mise à jour des actes d'exécution doit déclencher une revue de vos playbooks SOC sous 30 jours pour rester opposable.Comment Luxgap automatise ce risqueNotre Luxgap Regulatory Drift Sentinel garantit que vos procédures NIS 2 restent alignees sur la dernière version des actes d'exécution de la Commission, sans dependre d'une veille juridique manuelle. L'outil surveille en continu le Journal officiel de l'UE, les publications ENISA, les communications ILR et les annexes techniques du groupe de cooperation, puis compare automatiquement chaque nouveau gabarit officiel a vos playbooks d'incident stockes dans ServiceNow, Jira ou votre GRC (OneTrust, Drata, Vanta).Detecte chaque publication d'acte d'exécution NIS 2 ou de guidance ENISA des sa parution et alerte le RSSI par Teams ou Slack en moins de 15 minutes.Compare champ par champ le gabarit officiel de notification incident avec vos modèles internes et signale les ecarts bloquants (champs manquants, taxonomies obsoletes).Genere automatiquement un diff lisible des modifications réglementaires sectorielles applicables a votre annexe I ou II, avec impact estime sur vos procédures.Produit un plan de remédiation horodate, assigne aux équipes responsables, avec deadline calculee sur les délais de transposition.Publie un rapport PDF cryptographiquement scelle, opposable a l'ILR, qui démontré que vos procédures ont ete revues a chaque évolution réglementaire.Pre-remplit le formulaire de notification ILR dans le format en vigueur à partir de vos données SIEM (Sentinel, Splunk, Wazuh) en cas d'incident reel.Disponible en complement d'un mandat CISO Luxgap ou en b...

Considérant 139 NIS 2 — Considérant 139

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 139

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(139)

Afin d’assurer des conditions uniformes d’exécution de la présente directive, il convient de conférer des compétences d’exécution à la Commission pour établir les modalités de procédure nécessaires au fonctionnement du groupe de coopération et les exigences techniques et méthodologiques ainsi que sectorielles concernant les mesures de gestion des risques en matière de cybersécurité, et pour préciser le type d’informations, le format et la procédure des notifications d’incidents, de cybermenaces et d’incidents évités et des communications relatives aux cybermenaces importantes, ainsi que les cas dans lesquels un incident doit être considéré comme important. Ces compétences devraient être exercées conformément au règlement (UE) no 182/2011 du Parlement européen et du Conseil (23).

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité competente unique pour recevoir les notifications d'incident NIS 2 et contrôler la conformité aux actes d'exécution européens. L'ILR publie ses propres modèles de notification alignes sur les gabarits Commission et exige leur usage exclusif via son guichet électronique.

Pratique Luxgap : connectez votre SOC au format de notification ILR en vigueur et reverifiez son alignement a chaque publication d'acte d'exécution Commission, car l'ILR met à jour ses formulaires sans période transitoire.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant prepare le terrain aux actes d'exécution de la Commission qui precisent la forme, le contenu et la procédure des notifications d'incident, ainsi que le seuil de qualification 'important'. En pratique, les entités NIS 2 qui s'appuient sur le texte brut de la directive ratent les implementing acts publies progressivement par la Commission (notamment le règlement d'exécution 2024/2690 pour le numérique) qui durcissent les délais et imposent des formats precis. L'ILR contrôle desormais la conformité a ces formats lors des inspections, et un signalement non conforme au gabarit est traite comme une absence de notification.

Ce que ce considérant change concretement pour vous

Vos procédures internes de notification doivent être parametrables et non figees dans le marbre, car les formats officiels evoluent par actes d'exécution.
Le seuil d'incident 'important' n'est pas qu'une lecture de l'article 23 : il est précisé par les actes d'exécution sectoriels qu'il faut surveiller en continu.
Les exigences techniques de gestion des risques (article 21) sont raffinees par actes d'exécution sectoriels : energie, santé, infrastructure numérique, cloud, datacenters n'ont pas les mêmes exigences détaillées.
Le format machine-to-machine pour les near miss et les cyber threats impose une intégration outillee, pas un simple mail a l'ILR.
Toute mise à jour des actes d'exécution doit déclencher une revue de vos playbooks SOC sous 30 jours pour rester opposable.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Drift Sentinel garantit que vos procédures NIS 2 restent alignees sur la dernière version des actes d'exécution de la Commission, sans dependre d'une veille juridique manuelle. L'outil surveille en continu le Journal officiel de l'UE, les publications ENISA, les communications ILR et les annexes techniques du groupe de cooperation, puis compare automatiquement chaque nouveau gabarit officiel a vos playbooks d'incident stockes dans ServiceNow, Jira ou votre GRC (OneTrust, Drata, Vanta).

Detecte chaque publication d'acte d'exécution NIS 2 ou de guidance ENISA des sa parution et alerte le RSSI par Teams ou Slack en moins de 15 minutes.
Compare champ par champ le gabarit officiel de notification incident avec vos modèles internes et signale les ecarts bloquants (champs manquants, taxonomies obsoletes).
Genere automatiquement un diff lisible des modifications réglementaires sectorielles applicables a votre annexe I ou II, avec impact estime sur vos procédures.
Produit un plan de remédiation horodate, assigne aux équipes responsables, avec deadline calculee sur les délais de transposition.
Publie un rapport PDF cryptographiquement scelle, opposable a l'ILR, qui démontré que vos procédures ont ete revues a chaque évolution réglementaire.
Pre-remplit le formulaire de notification ILR dans le format en vigueur à partir de vos données SIEM (Sentinel, Splunk, Wazuh) en cas d'incident reel.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes realisent un audit blanc gratuit sous 48h pour comparer vos playbooks actuels aux derniers actes d'exécution publies, avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 139

Ils nous font confiance

Avant de discuter