Je dois mettre mon organisation luxembourgeoise en conformité au considérant 27 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 27 annonce que NIS 2 devient le socle horizontal de la cybersécurité UE. Le piège en pratique : croire qu'un acte sectoriel ultérieur (DORA pour la finance, futurs textes energie ou santé) remplace NIS 2 alors qu'il s'y articule. L'ILR au Luxembourg vérifié que les entités essentielles et importantes respectent le cadre NIS 2 en plus de leurs obligations sectorielles, sauf clause lex specialis explicite (article 4 NIS 2). La confusion entre les deux regimes laisse souvent un trou de gouvernance que l'inspection identifié immediatement.Comment lire l'articulation NIS 2 / textes sectorielsNIS 2 fournit les définitions (entité essentielle, entité importante, incident significatif) qui s'imposent aux textes futurs sauf derogation expresse.NIS 2 fournit le cadre de supervision (inspections ILR, audits cibles, demandes d'information) qui reste applicable même quand un texte sectoriel ajoute ses propres contrôles.NIS 2 fournit le regime de sanctions (jusqu'à 10 M'EUR ou 2% du CA mondial pour les entités essentielles) qui s'applique sauf si le texte sectoriel prevoit un regime au moins equivalent (cas de DORA pour les entités financieres).Pour une banque luxembourgeoise : DORA prime sur la gestion du risque ICT et les incidents, mais NIS 2 reste pertinent pour les définitions et la cooperation transfrontalière via le CSIRT.Pour un hôpital ou une commune : aucun texte sectoriel ne deroge, NIS 2 s'applique intégralement via la loi du 28 juillet 2023.Comment Luxgap automatise ce risqueNotre Luxgap Regulatory Mesh Mapper elimine la zone grise entre NIS 2, DORA, RGPD et textes sectoriels en cartographiant en temps reel quelle obligation s'applique a quelle entité juridique de votre groupe. L'outil croise votre registre Kbis, vos codes NACE, vos licences CSSF/ILR et vos contrats cloud Azure/AWS pour produire une matrice d'obligations cybersécurité legalement opposable, sans demander au RSSI de remplir un seul tableau Excel.Detecte automatiquement chaque entité de votre groupe et la qualifié comme essentielle, importante ou hors scope NIS 2 selon les annexes I et II et les seuils de la loi du 28 juillet 2023.Resout les conflits lex specialis entre NIS 2 et textes sectoriels (DORA pour la finance, futurs textes energie) en s'appuyant sur l'article 4 NIS 2 et les guidelines ENISA.Alerte par notification Teams ou Slack des qu'un nouveau texte UE sectoriel est publie au JOUE et impacte votre matrice d'obligations.Genere un rapport de qualification d'entité signe cryptographiquement, opposable a l'ILR lors d'une inspection ou d'une demande de classification.Suit l'évolution des seuils sectoriels (chiffre d'affaires, effectifs, criticite) et reevalue trimestriellement la qualification.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour qualifier vo...

Considérant 27 NIS 2 — Considérant 27

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 27

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(27)	Les futurs actes juridiques sectoriels de l’Union devraient tenir dûment compte des définitions et du cadre de supervision et d’exécution établis dans la présente directive.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) transpose NIS 2 et désigné l'ILR comme autorité nationale competente pour la qualification des entités essentielles et importantes, les inspections, la reception des notifications d'incident et les sanctions administratives. L'articulation avec DORA est explicite : pour les entités financieres supervisees par la CSSF, DORA prime sur le risque ICT mais la loi NIS 2 luxembourgeoise reste applicable pour les définitions transversales et la cooperation CSIRT.

Pratique Luxgap : pour tout groupe luxembourgeois multi-entites (holding + filiales opérationnelles), nous cartographions entité par entité la matrice d'obligations ILR vs CSSF avant toute notification, ce qui evite les doubles déclarations et les angles morts de qualification.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 27 annonce que NIS 2 devient le socle horizontal de la cybersécurité UE. Le piège en pratique : croire qu'un acte sectoriel ultérieur (DORA pour la finance, futurs textes energie ou santé) remplace NIS 2 alors qu'il s'y articule. L'ILR au Luxembourg vérifié que les entités essentielles et importantes respectent le cadre NIS 2 en plus de leurs obligations sectorielles, sauf clause lex specialis explicite (article 4 NIS 2). La confusion entre les deux regimes laisse souvent un trou de gouvernance que l'inspection identifié immediatement.

Comment lire l'articulation NIS 2 / textes sectoriels

NIS 2 fournit les définitions (entité essentielle, entité importante, incident significatif) qui s'imposent aux textes futurs sauf derogation expresse.
NIS 2 fournit le cadre de supervision (inspections ILR, audits cibles, demandes d'information) qui reste applicable même quand un texte sectoriel ajoute ses propres contrôles.
NIS 2 fournit le regime de sanctions (jusqu'à 10 M'EUR ou 2% du CA mondial pour les entités essentielles) qui s'applique sauf si le texte sectoriel prevoit un regime au moins equivalent (cas de DORA pour les entités financieres).
Pour une banque luxembourgeoise : DORA prime sur la gestion du risque ICT et les incidents, mais NIS 2 reste pertinent pour les définitions et la cooperation transfrontalière via le CSIRT.
Pour un hôpital ou une commune : aucun texte sectoriel ne deroge, NIS 2 s'applique intégralement via la loi du 28 juillet 2023.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Mesh Mapper elimine la zone grise entre NIS 2, DORA, RGPD et textes sectoriels en cartographiant en temps reel quelle obligation s'applique a quelle entité juridique de votre groupe. L'outil croise votre registre Kbis, vos codes NACE, vos licences CSSF/ILR et vos contrats cloud Azure/AWS pour produire une matrice d'obligations cybersécurité legalement opposable, sans demander au RSSI de remplir un seul tableau Excel.

Detecte automatiquement chaque entité de votre groupe et la qualifié comme essentielle, importante ou hors scope NIS 2 selon les annexes I et II et les seuils de la loi du 28 juillet 2023.
Resout les conflits lex specialis entre NIS 2 et textes sectoriels (DORA pour la finance, futurs textes energie) en s'appuyant sur l'article 4 NIS 2 et les guidelines ENISA.
Alerte par notification Teams ou Slack des qu'un nouveau texte UE sectoriel est publie au JOUE et impacte votre matrice d'obligations.
Genere un rapport de qualification d'entité signe cryptographiquement, opposable a l'ILR lors d'une inspection ou d'une demande de classification.
Suit l'évolution des seuils sectoriels (chiffre d'affaires, effectifs, criticite) et reevalue trimestriellement la qualification.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour qualifier vos entités avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 27

Ils nous font confiance

Avant de discuter