Je dois mettre mon organisation luxembourgeoise en conformité au considérant 141 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 141 NIS 2 — Considérant 141

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 141

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(141)

La présente directive crée de nouvelles tâches pour l’ENISA, en renforçant ainsi son rôle, et pourrait également conduire à ce que l’ENISA soit tenue d’accomplir les tâches qui lui incombent en vertu du règlement (UE) 2019/881 à un niveau plus élevé qu’auparavant. Afin de veiller à ce que l’ENISA dispose des ressources financières et humaines nécessaires pour mener à bien les tâches existantes et nouvelles, et pour atteindre un niveau plus élevé d’exécution de ces tâches résultant de son rôle accru, il convient d’augmenter son budget en conséquence. En outre, afin de garantir une utilisation efficace des ressources, l’ENISA devrait bénéficier d’une plus grande flexibilité dans la manière dont elle peut allouer les ressources en interne, afin de pouvoir accomplir correctement ses tâches et de répondre aux attentes.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente NIS 2 et s'appuie explicitement sur les publications de l'ENISA pour évaluer le caractère 'approprie et proportionné' des mesures techniques et organisationnelles. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, donne a l'ILR le pouvoir d'inspection, de notification d'incident et de sanction administrative, et renvoie aux guides ENISA comme référence d'état de l'art lors des contrôles.

Pratique Luxgap : alignez votre référentiel interne sur les derniers guides ENISA pertinents pour votre secteur (energie, transport, santé, infrastructure numérique) et conservez la trace horodatee de votre veille réglementaire, qui sera demandee par l'ILR des le premier échange d'inspection.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant n'est pas une obligation directe pour les entités essentielles et importantes, mais il signale une réalité opérationnelle : l'ENISA va publier davantage de guides techniques, de baselines et de schemas de certification que vous serez attendus de suivre. Le piège est de continuer a piloter votre conformité NIS 2 sur des référentiels datant d'avant 2023, alors que l'ILR s'appuie de plus en plus sur les NIS Cooperation Group guidelines et les publications ENISA actualisees pour qualifier le caractère 'approprie et proportionné' des mesures de l'article 21.

Ce que ce considérant change concretement pour vous

L'ENISA devient le producteur de fait des standards techniques de référence : ses guides sur la gestion d'incident, la supply chain, la cryptographie et la cyber-hygiene constituent le 'state of the art' attendu par l'ILR.
Le rythme de publication s'accelere : un référentiel interne fige à date n'est plus defendable plus de 12 mois en cas de contrôle.
Les schemas de certification européens (EUCC, EUCS, EU5G) deviennent un argument de présomption de conformité pour le choix de vos fournisseurs cloud, matériel et 5G.
Les exercices Cyber Europe pilotes par l'ENISA serviront de banc d'essai implicite pour évaluer la maturite de vos plans de continuite.
Le NIS 2 Implementing Régulation (UE 2024/2690) sur les fournisseurs numériques renvoie directement aux guides ENISA pour préciser chaque mesure de l'article 21.

Comment Luxgap automatise ce risque

Notre Luxgap ENISA Baseline Tracker elimine le risque d'obsolescence silencieuse de votre référentiel NIS 2. L'outil surveille en continu les publications de l'ENISA, du NIS Cooperation Group et de l'ILR, les met en correspondance avec votre politique de sécurité interne et vous alerte des qu'un guide nouveau ou revise impacte une mesure de l'article 21 deja documentee chez vous.

Scanne quotidiennement le flux ENISA, les décisions ILR et les implementing acts de la Commission pour détecter toute nouvelle baseline applicable a votre secteur d'annexe I ou II.
Cartographie automatiquement chaque publication ENISA vers les 10 mesures de l'article 21 et vers vos contrôles existants documentes dans votre GRC (ServiceNow, Archer, OneTrust, eRamba).
Genere un delta report qui liste précisément les ecarts entre vos procédures actuelles et la dernière version du référentiel ENISA, avec criticite et effort d'alignement estime.
Produit un dossier d'argumentation opposable a l'ILR demontrant que votre veille réglementaire est active et que vos mesures sont alignees sur le state of the art européen.
Alerte en temps reel via Teams ou Slack des qu'un schema de certification européen (EUCC, EUCS) devient pertinent pour un fournisseur que vous utilisez deja.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre référentiel reel, avec un audit blanc gratuit sous 48h pour mesurer votre ecart par rapport aux derniers guides ENISA.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 141

Ils nous font confiance

Avant de discuter