Je dois mettre mon organisation luxembourgeoise en conformité au considérant 20 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 20 NIS 2 — Considérant 20

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 20

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(20)

La Commission devrait, en coopération avec le groupe de coopération et après consultation des acteurs concernés, fournir des lignes directrices concernant la mise en œuvre des critères applicables aux microentreprises et aux petites entreprises permettant de déterminer si elles relèvent du champ d’application de la présente directive. La Commission devrait également veiller à ce que des orientations appropriées soient données aux microentreprises et petites entreprises relevant du champ d’application de la présente directive. La Commission devrait, avec l’aide des États membres, fournir aux microentreprises et aux petites entreprises des informations à cet égard.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui désigné les entités essentielles et importantes en application de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Les microentreprises et petites entreprises qui opèrent une infrastructure critique (DNS, registrar .lu, prestataire qualifié eIDAS, fournisseur cloud, datacenter Tier IV type LuxConnect ou eBRC) restent dans le champ malgré leur taille, et doivent notifier leur qualification a l'ILR via le portail dedie.

Pratique Luxgap : verifiez votre code NACE et vos activités reelles avec un audit de qualification documente avant la prochaine inspection ILR, car la requalification d'office entraine un rattrapage complet des obligations (gouvernance, gestion des risques, notification d'incident sous 24h) sans période transitoire.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les dirigeants de TPE/PME luxembourgeoises pensent souvent être hors champ NIS 2 parce qu'ils ont moins de 50 salariés. Erreur frequente : le considérant 20 rappelle que des critères spécifiques peuvent ramener une microentreprise dans le périmètre, notamment si elle opère une infrastructure critique (DNS, registrar, fournisseur cloud, prestataire de confiance qualifié, administration publique). L'ILR contrôle la qualification reelle, pas la taille declaree, et une mauvaise auto-evaluation exposé a une requalification retroactive avec rattrapage de toutes les obligations.

Les 6 cas ou une micro/petite entreprise tombe quand même dans le champ NIS 2

Fournisseur de services DNS, registre de noms de domaine de premier niveau, registrar (peu importe la taille).
Prestataire de services de confiance qualifié au sens eIDAS (signature électronique qualifiée, horodatage qualifié).
Fournisseur de réseaux ou services de communications électroniques publics.
Entité identifiée comme unique fournisseur d'un service essentiel dans un état membre.
Entité dont la perturbation pourrait avoir un impact transfrontalier significatif (article 2(2) NIS 2).
Entité de l'administration publique centrale, désignée par l'état membre.

Comment Luxgap automatise ce risque

Notre Luxgap Scope Qualifier rend impossible une mauvaise auto-evaluation NIS 2 en remplacant le questionnaire Excel approximatif par un agent IA qui interroge votre SI reel. L'outil se connecte a votre registre de commerce (RCSL), votre comptabilite (Sage BOB 50, Odoo, EBP), votre Active Directory et vos contrats clients pour reconstruire automatiquement votre profil d'activité, croise avec les annexes I et II de NIS 2 et les critères derogatoires du considérant 20.

Classifie votre entité (essentielle, importante, hors champ) en s'appuyant sur les critères taille-economiques de la recommandation 2003/361/CE et les exceptions sectorielles de l'article 2 NIS 2.
Detecte automatiquement les activités cachées qui déclenchent le champ d'application (revente de services cloud, rôle de registrar, fourniture eIDAS) en scannant les codes NACE et les flux de facturation.
Genere un dossier de qualification opposable a l'ILR, horodate et signe cryptographiquement, qui démontré la rigueur de votre auto-evaluation en cas de contrôle.
Surveille en continu les seuils de déclenchement (effectif, chiffre d'affaires, nouvelles activités) et alerte des qu'un changement structurel modifie votre statut.
Intégré les lignes directrices de la Commission et du groupe de cooperation des leur publication, sans intervention manuelle.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour confirmer votre qualification avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 20

Ils nous font confiance

Avant de discuter