Je dois mettre mon organisation luxembourgeoise en conformité au considérant 15 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 15 pose la dualité essentielle/importante qui structure tout le regime NIS 2. En pratique, l'ILR sanctionné deux erreurs frequentes : les entités qui s'auto-classifient en 'importante' alors qu'elles franchissent les seuils d'essentielle (et échappent ainsi a la supervision ex ante), et celles qui ignorent les orientations sectorielles que le considérant invite a prendre en compte. La charge administrative differenciee ne dispense personne de démontrer sa categorisation : c'est au dirigeant de prouver, documents a l'appui, pourquoi son entité relevé d'une catégorie plutot que l'autre.Le test de categorisation : criticite + taille + sectorielCriticite sectorielle : annexe I (essentielle par defaut au-dela des seuils) vs annexe II (importante). Energie, transport, santé, banque, infrastructure numérique = annexe I.Seuils de taille : grande entreprise (>250 salariés ou >50 M'EUR CA) = essentielle si annexe I ; moyenne entreprise (50-250 salariés ou 10-50 M'EUR CA) = importante.Override sectoriel ILR : l'ILR peut requalifier en essentielle independamment de la taille si l'entité est critique pour un service essentiel luxembourgeois (operateur DNS unique, registre .lu, fournisseur cloud stratégique).Regime supervision differencie : essentielles = inspections ex ante proactives ; importantes = contrôle ex post sur incident ou plainte.Sanctions differenciees : jusqu'à 10 M'EUR ou 2% du CA mondial (essentielles) vs 7 M'EUR ou 1,4% (importantes).Piège classique : un groupe luxembourgeois avec filiale informatique mutualisee qui rend service a une banque essentielle devient lui-meme essentiel par contagion fonctionnelle.Comment Luxgap automatise ce risqueNotre Luxgap Scope Classifier elimine l'incertitude de categorisation NIS 2 en produisant une note d'opinion juridique horodatee, opposable a l'ILR, qui démontré pourquoi votre entité relevé de la catégorie 'essentielle' ou 'importante'. L'agent IA croise vos données sociales (effectifs, CA consolide), votre code NACE, vos contrats clients critiques et les annexes I/II de la directive pour produire un verdict argumente en moins de 10 minutes, sans intervention manuelle du dirigeant.Recupere automatiquement vos effectifs et CA consolide via API CCSS, RCSL et Statec, sans ressaisie.Croise votre code NACE Luxembourg avec les annexes I et II pour identifier votre secteur de rattachement et le sous-secteur precis (telecoms, cloud B2B, registre TLD, etc.).Detecte les situations de contagion fonctionnelle : filiale IT mutualisee, holding qui contrôle un operateur essentiel, prestataire critique d'une entité essentielle.Genere une note de qualification argumentee de 8 a 12 pages, citant les considérants pertinents, les seuils franchis, et la jurisprudence ENISA disponible.Produit un PDF cryptographiquement scelle, horodate, opposable a l'ILR en cas de contrôle ou de contestation de classification.Re-execute l'analyse trimestriellement et alerte automatiquement quand un franchiss...

Considérant 15 NIS 2 — Considérant 15

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 15

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(15)

Les entités qui relèvent du champ d’application de la présente directive aux fins du respect des mesures de gestion des risques en matière de cybersécurité et des obligations d’information devraient être classées en deux catégories, entités essentielles et entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille. À cet égard, il convient de tenir dûment compte, le cas échéant, de toute évaluation des risques ou orientation sectorielle pertinente réalisée par les autorités compétentes. Les régimes de supervision et d’exécution applicables à ces deux catégories d’entités devraient être différenciés afin de garantir un juste équilibre entre les exigences et les obligations basées sur les risques, d’une part, et la charge administrative qui découle du contrôle de la conformité, d’autre part.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR la competence exclusive de désigner formellement les operateurs essentiels et importants. La désignation prend la forme d'une décision individuelle notifiée, qui déclenche l'obligation d'enregistrement dans le registre national des entités NIS 2 dans les 30 jours. L'auto-classification ne suffit pas : il faut une décision ILR confirmant la catégorie.

Pratique Luxgap : nous preparons le dossier de qualification (note argumentee, organigramme groupe, NACE, seuils) que vous transmettez proactivement a l'ILR pour eviter une requalification surprise lors d'un contrôle inopine.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 15 pose la dualité essentielle/importante qui structure tout le regime NIS 2. En pratique, l'ILR sanctionné deux erreurs frequentes : les entités qui s'auto-classifient en 'importante' alors qu'elles franchissent les seuils d'essentielle (et échappent ainsi a la supervision ex ante), et celles qui ignorent les orientations sectorielles que le considérant invite a prendre en compte. La charge administrative differenciee ne dispense personne de démontrer sa categorisation : c'est au dirigeant de prouver, documents a l'appui, pourquoi son entité relevé d'une catégorie plutot que l'autre.

Le test de categorisation : criticite + taille + sectoriel

Criticite sectorielle : annexe I (essentielle par defaut au-dela des seuils) vs annexe II (importante). Energie, transport, santé, banque, infrastructure numérique = annexe I.
Seuils de taille : grande entreprise (>250 salariés ou >50 M'EUR CA) = essentielle si annexe I ; moyenne entreprise (50-250 salariés ou 10-50 M'EUR CA) = importante.
Override sectoriel ILR : l'ILR peut requalifier en essentielle independamment de la taille si l'entité est critique pour un service essentiel luxembourgeois (operateur DNS unique, registre .lu, fournisseur cloud stratégique).
Regime supervision differencie : essentielles = inspections ex ante proactives ; importantes = contrôle ex post sur incident ou plainte.
Sanctions differenciees : jusqu'à 10 M'EUR ou 2% du CA mondial (essentielles) vs 7 M'EUR ou 1,4% (importantes).
Piège classique : un groupe luxembourgeois avec filiale informatique mutualisee qui rend service a une banque essentielle devient lui-meme essentiel par contagion fonctionnelle.

Comment Luxgap automatise ce risque

Notre Luxgap Scope Classifier elimine l'incertitude de categorisation NIS 2 en produisant une note d'opinion juridique horodatee, opposable a l'ILR, qui démontré pourquoi votre entité relevé de la catégorie 'essentielle' ou 'importante'. L'agent IA croise vos données sociales (effectifs, CA consolide), votre code NACE, vos contrats clients critiques et les annexes I/II de la directive pour produire un verdict argumente en moins de 10 minutes, sans intervention manuelle du dirigeant.

Recupere automatiquement vos effectifs et CA consolide via API CCSS, RCSL et Statec, sans ressaisie.
Croise votre code NACE Luxembourg avec les annexes I et II pour identifier votre secteur de rattachement et le sous-secteur precis (telecoms, cloud B2B, registre TLD, etc.).
Detecte les situations de contagion fonctionnelle : filiale IT mutualisee, holding qui contrôle un operateur essentiel, prestataire critique d'une entité essentielle.
Genere une note de qualification argumentee de 8 a 12 pages, citant les considérants pertinents, les seuils franchis, et la jurisprudence ENISA disponible.
Produit un PDF cryptographiquement scelle, horodate, opposable a l'ILR en cas de contrôle ou de contestation de classification.
Re-execute l'analyse trimestriellement et alerte automatiquement quand un franchissement de seuil change votre catégorie.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos données reelles, avec un scan gratuit sous 48h pour confirmer votre categorisation NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 15

Ils nous font confiance

Avant de discuter