Je dois mettre mon organisation luxembourgeoise en conformité au considérant 29 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLes entités du secteur aerien (compagnies, aeroports, prestataires de services au sol, organismes de maintenance) tombent souvent dans le piège de croire que leur conformité aux règlements (CE) 300/2008 et (UE) 2018/1139, sous contrôle de l'AESA et de la Direction de l'Aviation Civile, les exonere automatiquement de NIS 2. Ce considérant 29 ouvre une passerelle, mais ne cree pas une equivalence automatique : l'ILR au Luxembourg conserve son pouvoir d'évaluation. En pratique, sans cartographie précisé des exigences couvertes par l'un et l'autre regime, l'entité finit par être auditee deux fois sur les mêmes mesures, ou pire, par avoir des trous de couverture sur les exigences NIS 2 spécifiques (notification d'incident sous 24h, gouvernance de direction, chaîne d'approvisionnement).La matrice d'equivalence : ou les regimes se recoupent, ou ils divergentLes autorités competentes peuvent considérer la conformité aviation comme valant conformité NIS 2, mais a condition que le mapping soit documente clause par clause. Les points qui se recoupent largement :Mesures techniques de protection des systèmes d'information critiques (chiffrement, segmentation, contrôle d'accès).Plans de continuite et de reprise d'activité, deja imposes par l'AESA Part-IS.Gestion des vulnerabilites et des correctifs sur les systèmes au sol.Les points ou NIS 2 va plus loin et exige une couche supplémentaire :Responsabilité personnelle des organes de direction (article 20 NIS 2), absente du regime aviation.Notification d'incident significatif a l'ILR sous 24h en alerte précoce, distincte du reporting AESA Part-IS.Sécurité de la chaîne d'approvisionnement IT non-aviation (M365, ERP RH, CRM).Enregistrement obligatoire dans le registre ILR des entités essentielles.Comment Luxgap automatise ce risqueNotre Luxgap Regulatory Crosswalk Engine elimine la double charge d'audit en construisant automatiquement votre matrice d'equivalence entre AESA Part-IS, règlement 2018/1139, règlement 300/2008 et NIS 2. Un agent LLM spécialisé lit vos documents de conformité aviation existants (Security Programme, ISMS Part-IS, audits AESA), les croise avec les 10 catégories de mesures de l'article 21 NIS 2 et identifié précisément les zones couvertes, les zones a renforcer et les zones a créer ex nihilo.Ingere vos manuels de sécurité aviation, audits Part-IS et certificats AESA puis genere une matrice de correspondance clause par clause avec l'article 21 NIS 2.Detecte automatiquement les exigences NIS 2 non couvertes par le regime aviation (gouvernance article 20, notification 24h, chaîne d'approvisionnement non-aviation).Pre-remplit le dossier d'enregistrement ILR avec les preuves AESA reutilisables, evitant de reproduire 80% de la documentation.Genere un protocole de cooperation bilatere ILR-DAC pre-redige, conforme a l'esprit du considérant 29, pour limiter les audits redondants.Alerte en temps reel sur tout changement réglementaire AESA ou ILR qui modifierait la matrice d'equiva...

Considérant 29 NIS 2 — Considérant 29

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 29

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(29)

Afin d’éviter les écarts et les doubles emplois en ce qui concerne les obligations en matière de cybersécurité imposées aux entités du secteur de l’aviation, les autorités nationales en vertu des règlements (CE) no 300/2008 (11) et (UE) 2018/1139 (12) du Parlement européen et du Conseil et les autorités compétentes en vertu de la présente directive devraient coopérer pour la mise en œuvre des mesures de gestion des risques en matière de cybersécurité et la surveillance du respect de ces mesures au niveau national. Le respect par une entité des exigences de sécurité prévues dans les règlements (CE) no 300/2008 et (UE) 2018/1139 et dans les actes délégués et d’exécution pertinents adoptés en vertu de ces règlements pourrait être considéré par les autorités compétentes en vertu de la présente directive comme constituant le respect des exigences correspondantes prévues dans la présente directive.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la cooperation prévue par le considérant 29 implique concretement l'ILR (autorité competente NIS 2) et la Direction de l'Aviation Civile (DAC) du Ministere de la Mobilite et des Travaux publics (autorité aviation). La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose NIS 2 sans créer d'exoneration automatique pour le secteur aerien : la qualification d'entité essentielle ou importante par l'ILR reste discretionnaire, même pour les acteurs deja certifies AESA Part-IS. LuxAirport, Cargolux et les operateurs bases au Findel doivent donc enregistrer leur entité auprès de l'ILR, independamment de leur statut aviation.

Pratique Luxgap : nous etablissons un protocole de cooperation documente entre votre service conformité aviation et votre référent NIS 2, et formalisons auprès de l'ILR la matrice d'equivalence Part-IS / article 21 NIS 2 pour limiter les audits paralleles.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les entités du secteur aerien (compagnies, aeroports, prestataires de services au sol, organismes de maintenance) tombent souvent dans le piège de croire que leur conformité aux règlements (CE) 300/2008 et (UE) 2018/1139, sous contrôle de l'AESA et de la Direction de l'Aviation Civile, les exonere automatiquement de NIS 2. Ce considérant 29 ouvre une passerelle, mais ne cree pas une equivalence automatique : l'ILR au Luxembourg conserve son pouvoir d'évaluation. En pratique, sans cartographie précisé des exigences couvertes par l'un et l'autre regime, l'entité finit par être auditee deux fois sur les mêmes mesures, ou pire, par avoir des trous de couverture sur les exigences NIS 2 spécifiques (notification d'incident sous 24h, gouvernance de direction, chaîne d'approvisionnement).

La matrice d'equivalence : ou les regimes se recoupent, ou ils divergent

Les autorités competentes peuvent considérer la conformité aviation comme valant conformité NIS 2, mais a condition que le mapping soit documente clause par clause. Les points qui se recoupent largement :

Mesures techniques de protection des systèmes d'information critiques (chiffrement, segmentation, contrôle d'accès).
Plans de continuite et de reprise d'activité, deja imposes par l'AESA Part-IS.
Gestion des vulnerabilites et des correctifs sur les systèmes au sol.

Les points ou NIS 2 va plus loin et exige une couche supplémentaire :

Responsabilité personnelle des organes de direction (article 20 NIS 2), absente du regime aviation.
Notification d'incident significatif a l'ILR sous 24h en alerte précoce, distincte du reporting AESA Part-IS.
Sécurité de la chaîne d'approvisionnement IT non-aviation (M365, ERP RH, CRM).
Enregistrement obligatoire dans le registre ILR des entités essentielles.

Comment Luxgap automatise ce risque

Notre Luxgap Regulatory Crosswalk Engine elimine la double charge d'audit en construisant automatiquement votre matrice d'equivalence entre AESA Part-IS, règlement 2018/1139, règlement 300/2008 et NIS 2. Un agent LLM spécialisé lit vos documents de conformité aviation existants (Security Programme, ISMS Part-IS, audits AESA), les croise avec les 10 catégories de mesures de l'article 21 NIS 2 et identifié précisément les zones couvertes, les zones a renforcer et les zones a créer ex nihilo.

Ingere vos manuels de sécurité aviation, audits Part-IS et certificats AESA puis genere une matrice de correspondance clause par clause avec l'article 21 NIS 2.
Detecte automatiquement les exigences NIS 2 non couvertes par le regime aviation (gouvernance article 20, notification 24h, chaîne d'approvisionnement non-aviation).
Pre-remplit le dossier d'enregistrement ILR avec les preuves AESA reutilisables, evitant de reproduire 80% de la documentation.
Genere un protocole de cooperation bilatere ILR-DAC pre-redige, conforme a l'esprit du considérant 29, pour limiter les audits redondants.
Alerte en temps reel sur tout changement réglementaire AESA ou ILR qui modifierait la matrice d'equivalence.
Produit un rapport PDF horodate opposable, demontrant aux deux autorités votre conformité croisee documentee.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos documents Part-IS reels, avec un audit blanc gratuit sous 48h pour materialiser les zones de recouvrement et les trous de couverture avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 29

Ils nous font confiance

Avant de discuter