Je dois mettre mon organisation luxembourgeoise en conformité au considérant 2 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant rappelle que NIS 2 n'est pas une révolution mais une montee en gamme de NIS 1, qui presentait des insuffisances intrinseques. Le piège classique consiste a croire que la conformité NIS 1 acquise depuis 2018 suffit : l'ILR, lors de ses inspections, sanctionné précisément les entités qui se sont arretees au socle NIS 1 (périmètre etroit, gouvernance peu formalisee, absence de gestion de la chaîne d'approvisionnement). Les organisations qui n'ont jamais ete désignées OSE sous NIS 1 et qui decouvrent leur statut d'entité essentielle ou importante sous NIS 2 sont les plus exposees, faute de capacites nationales matures sur lesquelles s'appuyer.Ce que ce considérant change concretement pour vousVos politiques de cybersécurité rédigées sous NIS 1 doivent être relues a l'aune du nouvel article 21 de NIS 2 (10 mesures minimales) : la couverture est plus large.Le périmètre s'etend a des secteurs non couverts auparavant (administration publique, eaux usees, espace, services postaux, fabrication de produits critiques) : verifiez votre qualification via les annexes I et II.La cooperation européenne (groupe de cooperation, réseau CSIRT, EU-CyCLONe) est renforcee : votre dispositif de notification d'incident doit être interoperable avec ces structures via l'ILR.Le considérant evoque une évolution des mentalites : la conformité NIS 2 se démontré par la culture cyber des dirigeants (article 20, formation obligatoire), pas seulement par des documents.Les enseignements de NIS 1 (cartographie, plan de continuite, exercices) restent des prerequis : ne repartez pas de zero, capitalisez sur ce qui existe.Comment Luxgap automatise ce risqueNotre Luxgap NIS2 Maturity Bridge transforme votre socle NIS 1 (ou votre vide réglementaire) en feuille de route NIS 2 opposable a l'ILR en moins de 10 jours ouvres. L'outil ingere vos politiques existantes, vos rapports d'audit ISO 27001, vos PCA/PRA et vos notifications d'incident historiques, puis utilise un agent LLM spécialisé pour cartographier automatiquement chaque control existant vers les 10 mesures de l'article 21 et détecter les insuffisances intrinseques citees par ce considérant 2.Detecte automatiquement votre qualification (entité essentielle, importante ou hors champ) en croisant votre code NACE Luxembourg, votre effectif Joint et votre chiffre d'affaires publie au RCS.Compare votre maturite reelle aux exigences NIS 2 article par article et produit un score de progression par domaine (gouvernance, gestion des risques, supply chain, continuite, cryptographie).Genere un plan de remédiation priorisé par criticite et par effort, aligne sur les guides ENISA et les recommandations de l'ILR.Identifié les contrôles NIS 1 deja en place qui couvrent NIS 2 sans modification, pour eviter la double charge documentaire.Produit un rapport PDF horodate, signe cryptographiquement, presentable lors d'une inspection ILR pour démontrer une démarché structuree des l'entree en vigueur.Surveille les public...

Considérant 2 NIS 2 — Considérant 2

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 2

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(2)

Depuis l’entrée en vigueur de la directive (UE) 2016/1148, des progrès significatifs ont été réalisés dans l’amélioration du niveau de cyberrésilience de l’Union. Le réexamen de cette directive a montré qu’elle avait joué le rôle de catalyseur dans l’approche institutionnelle et réglementaire de la cybersécurité dans l’Union, ouvrant la voie à une évolution importante des mentalités. Cette directive a veillé à ce que les cadres nationaux sur la sécurité des réseaux et des systèmes d’information soient achevés en instaurant des stratégies nationales en matière de sécurité des réseaux et des systèmes d’information, en créant des capacités nationales et en mettant en œuvre des mesures réglementaires couvrant les infrastructures et les entités essentielles identifiées par chacun des États membres. La directive (UE) 2016/1148 a également contribué à la coopération au niveau de l’Union par la création du groupe de coopération et du réseau des centres de réponse aux incidents de sécurité informatique. En dépit de ces accomplissements, le réexamen de la directive (UE) 2016/1148 a montré que certaines insuffisances intrinsèques l’empêchaient de répondre efficacement aux défis actuels et émergents liés à la cybersécurité.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose NIS 2 et capitalise explicitement sur les acquis de NIS 1 (loi du 28 mai 2019). L'ILR reste l'autorité competente nationale, recoit les notifications d'incident, mene les inspections et inflige les sanctions administratives. Les entités deja désignées OSE sous NIS 1 sont automatiquement re-evaluees par l'ILR au regard des nouveaux critères NIS 2 (taille, secteur, criticite).

Pratique Luxgap : ne presumez pas que votre statut NIS 1 luxembourgeois est reconduit a l'identique. Demandez par ecrit a l'ILR la confirmation de votre qualification (essentielle ou importante) et conservez la réponse comme pièce d'accountability, car les obligations et les plafonds de sanction different selon la catégorie.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant rappelle que NIS 2 n'est pas une révolution mais une montee en gamme de NIS 1, qui presentait des insuffisances intrinseques. Le piège classique consiste a croire que la conformité NIS 1 acquise depuis 2018 suffit : l'ILR, lors de ses inspections, sanctionné précisément les entités qui se sont arretees au socle NIS 1 (périmètre etroit, gouvernance peu formalisee, absence de gestion de la chaîne d'approvisionnement). Les organisations qui n'ont jamais ete désignées OSE sous NIS 1 et qui decouvrent leur statut d'entité essentielle ou importante sous NIS 2 sont les plus exposees, faute de capacites nationales matures sur lesquelles s'appuyer.

Ce que ce considérant change concretement pour vous

Vos politiques de cybersécurité rédigées sous NIS 1 doivent être relues a l'aune du nouvel article 21 de NIS 2 (10 mesures minimales) : la couverture est plus large.
Le périmètre s'etend a des secteurs non couverts auparavant (administration publique, eaux usees, espace, services postaux, fabrication de produits critiques) : verifiez votre qualification via les annexes I et II.
La cooperation européenne (groupe de cooperation, réseau CSIRT, EU-CyCLONe) est renforcee : votre dispositif de notification d'incident doit être interoperable avec ces structures via l'ILR.
Le considérant evoque une évolution des mentalites : la conformité NIS 2 se démontré par la culture cyber des dirigeants (article 20, formation obligatoire), pas seulement par des documents.
Les enseignements de NIS 1 (cartographie, plan de continuite, exercices) restent des prerequis : ne repartez pas de zero, capitalisez sur ce qui existe.

Comment Luxgap automatise ce risque

Notre Luxgap NIS2 Maturity Bridge transforme votre socle NIS 1 (ou votre vide réglementaire) en feuille de route NIS 2 opposable a l'ILR en moins de 10 jours ouvres. L'outil ingere vos politiques existantes, vos rapports d'audit ISO 27001, vos PCA/PRA et vos notifications d'incident historiques, puis utilise un agent LLM spécialisé pour cartographier automatiquement chaque control existant vers les 10 mesures de l'article 21 et détecter les insuffisances intrinseques citees par ce considérant 2.

Detecte automatiquement votre qualification (entité essentielle, importante ou hors champ) en croisant votre code NACE Luxembourg, votre effectif Joint et votre chiffre d'affaires publie au RCS.
Compare votre maturite reelle aux exigences NIS 2 article par article et produit un score de progression par domaine (gouvernance, gestion des risques, supply chain, continuite, cryptographie).
Genere un plan de remédiation priorisé par criticite et par effort, aligne sur les guides ENISA et les recommandations de l'ILR.
Identifié les contrôles NIS 1 deja en place qui couvrent NIS 2 sans modification, pour eviter la double charge documentaire.
Produit un rapport PDF horodate, signe cryptographiquement, presentable lors d'une inspection ILR pour démontrer une démarché structuree des l'entree en vigueur.
Surveille les publications de l'ILR et de l'ENISA et alerte sur Teams ou Slack des qu'une nouvelle ligne directrice impacte votre plan.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre ecart NIS 1 vers NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 2

Ils nous font confiance

Avant de discuter