Le piège classique
Ce considérant annonce une vérité que beaucoup d'entités ignorent : le périmètre de NIS 2 n'est pas fige. La Commission européenne reexamine periodiquement les annexes I et II, les seuils de taille et les types d'entités couvertes. Une PME hors champ aujourd'hui peut devenir entité importante demain par simple revision, sans changement de son activité. Les organisations qui pilotent leur conformité en mode 'projet ponctuel' se font systématiquement rattraper par l'ILR lors d'un contrôle 18 mois après une revision, faute d'avoir reevalue leur qualification.
Les signaux qui doivent déclencher une reevaluation immediate
- Publication d'un acte délégué ou d'un reexamen Commission modifiant les annexes I/II.
- Désignation de votre prestataire cloud ou plateforme comme very large online platform au sens du DSA (article 33 règlement 2022/2065).
- Franchissement d'un seuil d'effectif (50 ou 250 salariés) ou de chiffre d'affaires (10 M'EUR, 50 M'EUR).
- Acquisition, fusion ou nouvelle activité dans un sous-secteur des annexes (energie, santé, infrastructure numérique, administration publique).
- Publication par l'ENISA d'un nouveau guide sectoriel qui précisé un sous-secteur jusque-la flou.
- évolution de la liste ILR des operateurs essentiels et importants au Luxembourg.
Le reflexe Luxgap : ne pas attendre le contrôle pour decouvrir qu'on est devenu entité essentielle
L'erreur classique consiste a auto-evaluer son périmètre une fois, en 2024, et a ranger le dossier. Or l'ILR notifié les nouveaux operateurs sans preavis, et le délai pour deployer les mesures article 21 NIS 2 est court. Une veille structuree sur les reexamens Commission, les actes délégués et les designations DSA est indispensable.
Comment Luxgap automatise ce risque
Notre Luxgap Scope Radar transforme la question 'sommes-nous toujours hors champ NIS 2 ?' en une surveillance continue qui vous alerte le jour même ou la réponse change. L'outil combine un agent IA qui surveille en temps reel le Journal officiel UE, les actes délégués Commission, les communications ENISA et les designations DSA, avec un connecteur direct vers vos données RH (Workday, Sopra Steria HR Suite, Sage BOB 50) et financieres (Odoo, SAP, Cegid Quadra) pour recalculer en permanence votre qualification.
- Surveille en temps reel les publications JOUE, les reexamens Commission et les décisions ILR susceptibles de modifier les annexes I/II ou les seuils de taille.
- Recalcule automatiquement votre qualification (hors champ / entité importante / entité essentielle) a chaque variation d'effectif, de CA ou de périmètre d'activité, en croisant vos systèmes RH et ERP.
- Detecte si l'un de vos fournisseurs critiques (cloud, SaaS, telecoms) est désigné very large online platform au sens du DSA et evalue l'impact sur votre propre qualification indirecte.
- Alerte instantanement par Teams ou email le DPO, le RSSI et la direction generale des qu'un signal modifie votre statut probable.
- Produit un rapport PDF horodate de qualification, opposable a l'ILR, qui documente votre raisonnement et la date a laquelle votre statut a evolue.
- Genere une feuille de route prioritaire des mesures article 21 a deployer si une bascule de statut est detectee, avec estimation de charge et planning réaliste.
Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour determiner votre qualification actuelle et anticiper les prochains reexamens.
