Je dois mettre mon organisation luxembourgeoise en conformité au considérant 23 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 23 est la clé de lecture de l'articulation lex specialis entre NIS 2 et les regimes sectoriels (DORA pour la finance, le règlement sur la résilience des entités critiques, le code des communications électroniques). En pratique, l'ILR sanctionné deux erreurs symetriques : croire qu'on est couvert par DORA et donc exempte de NIS 2 alors qu'une filiale du groupe est hors champ DORA, ou inversement appliquer NIS 2 a une entité financiere reguleee CSSF qui relevé intégralement de DORA. Les groupes mixtes (holding industrielle + filiale fintech + datacenter) sont les premieres victimes de ce mille-feuille.Le test 'effet au moins equivalent' : la grille d'analyse a documenterPour chaque entité du groupe, le considérant 23 impose une cartographie réglementaire formalisee. L'ILR attend que vous puissiez justifier, entité par entité, quel regime s'applique et pourquoi :Identifier le secteur de chaque entité juridique (annexes I et II NIS 2) et vérifier l'existence d'un acte sectoriel UE qui couvre cette entité spécifiquement.Réaliser le test d'equivalence sur les deux piliers : mesures de gestion des risques (article 21 NIS 2) et notification d'incidents (article 23 NIS 2).Vérifier l'equivalence du regime de supervision et de sanction, pas seulement des obligations substantielles.Documenter le raisonnement dans un memo opposable, signe par la direction juridique, mis à jour a chaque évolution du périmètre du groupe.Pour les zones grises (TIC dans une banque : DORA ou NIS 2 ?), retenir la règle de la disposition la plus stricte par defaut, en attendant la position formelle de l'ILR ou de la CSSF.Tracer les entités non couvertes par un acte sectoriel : elles retombent automatiquement sous NIS 2 sans regime transitoire.Comment Luxgap automatise ce risqueNotre Luxgap Regulatory Mapper elimine la zone grise réglementaire en cartographiant automatiquement, pour chaque entité juridique de votre groupe, le regime cyber applicable et en produisant le memo d'equivalence opposable a l'ILR. L'outil interroge le registre RCS luxembourgeois, le registre CSSF, la base ESMA et vos données Odoo ou SAP pour reconstituer la structure du groupe, puis croise chaque entité avec une matrice juridique à jour des actes sectoriels UE (DORA, CER, EECC, eIDAS 2).Scanne automatiquement votre structure de groupe via les registres officiels (RCS, CSSF, BaFin, AMF) et reconstruit l'organigramme réglementaire entité par entité.Applique le test du considérant 23 sur chaque entité en comparant les obligations sectorielles a l'article 21 et 23 NIS 2, point par point, avec un score d'equivalence motive.Detecte les ruptures de couverture, ces entités du groupe qui ne sont couvertes par aucun acte sectoriel et basculent automatiquement sous NIS 2.Alerte en temps reel via Teams ou Slack des qu'un nouvel acte délégué UE ou un avis ILR modifie le périmètre d'equivalence.Genere un memo juridique horodate, signe cryptographiquement, opposable lors d'un contrôle IL...

Considérant 23 NIS 2 — Considérant 23

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 23

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(23)

Lorsque des actes juridiques sectoriels de l’Union contiennent des dispositions imposant à des entités essentielles ou importantes d’adopter des mesures de gestion des risques en matière de cybersécurité ou de notifier les incidents importants, et lorsque ces exigences ont un effet au moins équivalent à celui des obligations prévues par la présente directive, lesdites dispositions, y compris celles relatives à la supervision et à l’exécution, devraient s’appliquer auxdites entités. Lorsqu’un acte sectoriel de l’Union ne couvre pas toutes les entités d’un secteur spécifique relevant du champ d’application de la présente directive, les dispositions pertinentes de la présente directive devraient continuer de s’appliquer aux entités non couvertes par ledit acte.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'articulation entre NIS 2 et DORA est particulièrement sensible : la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) désigné l'ILR comme autorité competente pour les entités essentielles et importantes, tandis que la CSSF demeure l'autorité unique pour les entités financieres relevant de DORA. Pour les groupes mixtes (banque privée avec filiale prestataire IT, fintech avec datacenter dedie), la coordination ILR-CSSF est encadree par un protocole national qui privilégié la supervision sectorielle la plus stricte.

Pratique Luxgap : pour chaque entité luxembourgeoise du groupe, documentez explicitement l'autorité competente retenue (ILR ou CSSF) et notifiez par courtoisie les deux autorités lors d'un incident transfrontalier au regime, pour eviter le reproche d'une notification incomplete.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 23 est la clé de lecture de l'articulation lex specialis entre NIS 2 et les regimes sectoriels (DORA pour la finance, le règlement sur la résilience des entités critiques, le code des communications électroniques). En pratique, l'ILR sanctionné deux erreurs symetriques : croire qu'on est couvert par DORA et donc exempte de NIS 2 alors qu'une filiale du groupe est hors champ DORA, ou inversement appliquer NIS 2 a une entité financiere reguleee CSSF qui relevé intégralement de DORA. Les groupes mixtes (holding industrielle + filiale fintech + datacenter) sont les premieres victimes de ce mille-feuille.

Le test 'effet au moins equivalent' : la grille d'analyse a documenter

Pour chaque entité du groupe, le considérant 23 impose une cartographie réglementaire formalisee. L'ILR attend que vous puissiez justifier, entité par entité, quel regime s'applique et pourquoi :

Identifier le secteur de chaque entité juridique (annexes I et II NIS 2) et vérifier l'existence d'un acte sectoriel UE qui couvre cette entité spécifiquement.
Réaliser le test d'equivalence sur les deux piliers : mesures de gestion des risques (article 21 NIS 2) et notification d'incidents (article 23 NIS 2).
Vérifier l'equivalence du regime de supervision et de sanction, pas seulement des obligations substantielles.
Documenter le raisonnement dans un memo opposable, signe par la direction juridique, mis à jour a chaque évolution du périmètre du groupe.
Pour les zones grises (TIC dans une banque : DORA ou NIS 2 ?), retenir la règle de la disposition la plus stricte par defaut, en attendant la position formelle de l'ILR ou de la CSSF.
Tracer les entités non couvertes par un acte sectoriel : elles retombent automatiquement sous NIS 2 sans regime transitoire.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Mapper elimine la zone grise réglementaire en cartographiant automatiquement, pour chaque entité juridique de votre groupe, le regime cyber applicable et en produisant le memo d'equivalence opposable a l'ILR. L'outil interroge le registre RCS luxembourgeois, le registre CSSF, la base ESMA et vos données Odoo ou SAP pour reconstituer la structure du groupe, puis croise chaque entité avec une matrice juridique à jour des actes sectoriels UE (DORA, CER, EECC, eIDAS 2).

Scanne automatiquement votre structure de groupe via les registres officiels (RCS, CSSF, BaFin, AMF) et reconstruit l'organigramme réglementaire entité par entité.
Applique le test du considérant 23 sur chaque entité en comparant les obligations sectorielles a l'article 21 et 23 NIS 2, point par point, avec un score d'equivalence motive.
Detecte les ruptures de couverture, ces entités du groupe qui ne sont couvertes par aucun acte sectoriel et basculent automatiquement sous NIS 2.
Alerte en temps reel via Teams ou Slack des qu'un nouvel acte délégué UE ou un avis ILR modifie le périmètre d'equivalence.
Genere un memo juridique horodate, signe cryptographiquement, opposable lors d'un contrôle ILR ou CSSF, qui justifie le regime retenu pour chaque entité.
Suit la position des autorités (ILR, CSSF, ENISA, AEMF) sur les zones grises et propose un arbitrage pragmatique fonde sur la disposition la plus stricte.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon la taille de votre groupe. Demandez un devis personnalise et nos équipes preparent une cartographie réglementaire gratuite sous 48h sur votre périmètre reel, pour materialiser les zones de double couverture avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 23

Ils nous font confiance

Avant de discuter