Je dois mettre mon organisation luxembourgeoise en conformité au considérant 144 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 144 confirme que NIS 2 a ete valide par le Contrôleur européen de la protection des données (CEPD) avant adoption. Le piège en pratique : les entités essentielles et importantes oublient que NIS 2 ne supprime pas le RGPD, et qu'un incident de cybersécurité est très souvent aussi une violation de données a personnes physiques. Résultat : double notification ILR (incident NIS 2 sous 24h puis 72h) et CNPD (violation RGPD sous 72h), avec des délais et des destinataires differents, sur les mêmes faits. L'ILR et la CNPD echangent en pratique, et une notification incoherente entre les deux est un signal d'alerte direct.L'articulation NIS 2 / RGPD que ce considérant rend expliciteL'avis du CEPD du 11 mars 2021 a précisément insiste sur la coexistence des regimes. Concretement, pour une entité couverte par NIS 2 :Tout incident significatif (article 23 NIS 2) doit être evalue sous l'angle RGPD article 33 : y a-t-il des données a caractère personnel affectees ?Les délais ne sont pas alignes : alerte précoce ILR sous 24h, notification d'incident sous 72h, rapport final sous 1 mois cote NIS 2 ; notification CNPD sous 72h cote RGPD.Les destinataires divergent : ILR pour la cybersécurité, CNPD pour la protection des données, personnes concernees si risque eleve (article 34 RGPD).Les bases légales de partagé d'information entre autorités (ILR, CNPD, CSSF, ENISA, CSIRT) doivent être tracees, sinon vous perdez le contrôle du recit.La documentation interne doit prouver que les deux qualifications ont ete examinees, même si une seule s'applique finalement.Comment Luxgap automatise ce risqueNotre Luxgap Dual-Notification Orchestrator elimine le risque de notification incoherente entre ILR et CNPD en pilotant en parallele les deux horloges réglementaires des qu'un incident est declare. L'outil ingere les alertes de votre SIEM (Microsoft Sentinel, Wazuh, CrowdStrike Falcon, Defender XDR) et de votre EDR, puis un agent IA qualifié automatiquement l'incident sous le double prisme NIS 2 article 23 et RGPD article 33 en moins de 5 minutes.Déclenche deux compteurs synchronises (24h ILR, 72h ILR, 72h CNPD, 1 mois rapport final) avec escalades automatiques sur Teams et SMS aux personnes désignées.Pre-remplit les formulaires officiels ILR et CNPD à partir des mêmes faits, en garantissant la coherence des qualifications, du périmètre et du nombre de personnes affectees.Detecte automatiquement, via classification LLM des logs, si des données a caractère personnel sont presentes dans le périmètre compromis et bascule en mode double notification.Genere une chronologie cryptographiquement scellee (hash SHA-256 horodate) opposable lors d'un contrôle ILR ou CNPD, demontrant la diligence de qualification.Alerte en temps reel si la communication aux personnes concernees (article 34 RGPD) devient obligatoire suite a une re-evaluation du risque.Archive les échanges avec le CSIRT national et l'ENISA dans un registre unique, traçable et exportable.Dispon...

Considérant 144 NIS 2 — Considérant 144

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 144

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(144)

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (25) et a rendu un avis le 11 mars 2021 (26),

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite (modifiee le 28 juillet 2025)

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) désigné l'ILR comme autorité competente NIS 2 et le CSIRT national (GOVCERT.LU / CIRCL) comme destinataire technique. Les entités essentielles et importantes du secteur financier ont en plus la CSSF comme autorité sectorielle, ce qui peut créer une triple notification (ILR + CNPD + CSSF) sur un même incident.

Pratique Luxgap : pour les entités régulées CSSF, l'orchestrator intégré des le depart la circulaire CSSF 24/847 sur la notification des incidents TIC, evitant que la notification CSSF arrive en decalage par rapport a ILR et CNPD.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 144 confirme que NIS 2 a ete valide par le Contrôleur européen de la protection des données (CEPD) avant adoption. Le piège en pratique : les entités essentielles et importantes oublient que NIS 2 ne supprime pas le RGPD, et qu'un incident de cybersécurité est très souvent aussi une violation de données a personnes physiques. Résultat : double notification ILR (incident NIS 2 sous 24h puis 72h) et CNPD (violation RGPD sous 72h), avec des délais et des destinataires differents, sur les mêmes faits. L'ILR et la CNPD echangent en pratique, et une notification incoherente entre les deux est un signal d'alerte direct.

L'articulation NIS 2 / RGPD que ce considérant rend explicite

L'avis du CEPD du 11 mars 2021 a précisément insiste sur la coexistence des regimes. Concretement, pour une entité couverte par NIS 2 :

Tout incident significatif (article 23 NIS 2) doit être evalue sous l'angle RGPD article 33 : y a-t-il des données a caractère personnel affectees ?
Les délais ne sont pas alignes : alerte précoce ILR sous 24h, notification d'incident sous 72h, rapport final sous 1 mois cote NIS 2 ; notification CNPD sous 72h cote RGPD.
Les destinataires divergent : ILR pour la cybersécurité, CNPD pour la protection des données, personnes concernees si risque eleve (article 34 RGPD).
Les bases légales de partagé d'information entre autorités (ILR, CNPD, CSSF, ENISA, CSIRT) doivent être tracees, sinon vous perdez le contrôle du recit.
La documentation interne doit prouver que les deux qualifications ont ete examinees, même si une seule s'applique finalement.

Comment Luxgap automatise ce risque

Notre Luxgap Dual-Notification Orchestrator elimine le risque de notification incoherente entre ILR et CNPD en pilotant en parallele les deux horloges réglementaires des qu'un incident est declare. L'outil ingere les alertes de votre SIEM (Microsoft Sentinel, Wazuh, CrowdStrike Falcon, Defender XDR) et de votre EDR, puis un agent IA qualifié automatiquement l'incident sous le double prisme NIS 2 article 23 et RGPD article 33 en moins de 5 minutes.

Déclenche deux compteurs synchronises (24h ILR, 72h ILR, 72h CNPD, 1 mois rapport final) avec escalades automatiques sur Teams et SMS aux personnes désignées.
Pre-remplit les formulaires officiels ILR et CNPD à partir des mêmes faits, en garantissant la coherence des qualifications, du périmètre et du nombre de personnes affectees.
Detecte automatiquement, via classification LLM des logs, si des données a caractère personnel sont presentes dans le périmètre compromis et bascule en mode double notification.
Genere une chronologie cryptographiquement scellee (hash SHA-256 horodate) opposable lors d'un contrôle ILR ou CNPD, demontrant la diligence de qualification.
Alerte en temps reel si la communication aux personnes concernees (article 34 RGPD) devient obligatoire suite a une re-evaluation du risque.
Archive les échanges avec le CSIRT national et l'ENISA dans un registre unique, traçable et exportable.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent une simulation d'incident sur votre stack reelle, avec un audit blanc gratuit sous 48h pour mesurer votre capacite actuelle a tenir les deux horloges.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 144

Ils nous font confiance

Avant de discuter