Je dois mettre mon organisation luxembourgeoise en conformité au considérant 17 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 17 NIS 2 — Considérant 17

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 17

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(17)	Les États membres devraient pouvoir décider que les entités identifiées, avant l’entrée en vigueur de la présente directive, comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) transpose ce considérant en permettant a l'ILR de reprendre la liste des operateurs de services essentiels désignés sous l'ancienne loi du 28 mai 2019 (transposition NIS 1) pour les qualifier directement comme entités essentielles NIS 2, sans nouvelle procédure de désignation. Les operateurs historiques (Creos, Enovos, CFL, Encevo, POST, hôpitaux, banques systemiques) sont donc presumes essentiels des l'entree en vigueur.

Pratique Luxgap : si vous etiez deja en relation avec l'ILR sous NIS 1, demandez immediatement la confirmation ecrite de votre nouveau statut NIS 2 (essentielle ou importante) pour calibrer vos obligations de notification 24h/72h et eviter une sous-qualification qui se paie cher en cas d'incident.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant ouvre une porté que beaucoup d'organisations ignorent : si vous étiez deja qualifié operateur de services essentiels (OSE) sous NIS 1, l'état membre peut vous reclasser automatiquement en entité essentielle sous NIS 2, sans nouvelle procédure de désignation. L'ILR au Luxembourg peut donc s'appuyer sur l'historique NIS 1 pour vous notifier votre statut, et vous êtes alors soumis aux obligations renforcees (gestion des risques article 21, notification d'incident article 23, responsabilité des dirigeants article 20) des l'entree en vigueur, sans période de grace.

Ce que ce considérant change concretement pour vous

Si vous etiez OSE NIS 1 (energie, transport, banque, santé, infrastructure numérique, eau potable), partez du principe que vous êtes deja entité essentielle NIS 2, même sans notification formelle de l'ILR.
Ne pas attendre le courrier officiel : les obligations s'appliquent par auto-qualification, pas par désignation.
Vérifier que votre cartographie NIS 1 (périmètre, systèmes critiques, plans de continuite) est toujours à jour et couvre le périmètre élargi NIS 2 (chaîne d'approvisionnement, sous-traitants IT).
Reconcilier les obligations heritees de NIS 1 avec les nouveautes NIS 2 : registre des incidents, formation des dirigeants, gouvernance documentee.
Documenter la continuite de qualification pour eviter une rupture d'historique en cas de contrôle.

Comment Luxgap automatise ce risque

Notre Luxgap NIS Continuity Mapper reconcilie automatiquement votre historique NIS 1 avec votre périmètre NIS 2 et vous dit, en moins de 48 heures, si vous êtes une entité essentielle heritee ou une nouvelle entité a notifier. L'outil croise vos designations passees ILR, votre référentiel d'actifs critiques (CMDB, ServiceNow, M365, Active Directory) et les annexes I et II de la directive pour materialiser votre statut reel, sans dependre d'une notification officielle qui peut arriver tard.

Identifié automatiquement votre statut NIS 1 historique en croisant vos échanges ILR archives et votre secteur d'activité Annexe I/II.
Compare votre périmètre OSE 2018 avec votre périmètre 2024 pour détecter les nouveaux actifs critiques apparus entre-temps (cloud Azure, SaaS metier, sous-traitants IT).
Genere un rapport de qualification entité essentielle ou entité importante opposable a l'ILR, horodate et cryptographiquement scelle.
Produit la liste des obligations NIS 2 nouvelles par rapport a vos pratiques NIS 1 (gouvernance article 20, notification 24h/72h/1 mois article 23, supply chain article 21).
Alerte en temps reel quand un nouveau système intégré votre SI déclenche un seuil de criticite qui modifie votre périmètre regulatoire.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 17

Ils nous font confiance

Avant de discuter