Je dois mettre mon organisation luxembourgeoise en conformité au considérant 3 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 3 NIS 2 — Considérant 3

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 3

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(3)

Les réseaux et systèmes d’information sont devenus une caractéristique essentielle de la vie quotidienne en raison de la transformation numérique rapide et de l’interconnexion de la société, y compris dans le cadre des échanges transfrontières. Cette évolution a conduit à une expansion du paysage des cybermenaces et à l’émergence de nouveaux défis, qui nécessitent des réponses adaptées, coordonnées et novatrices dans tous les États membres. Le nombre, l’ampleur, la sophistication, la fréquence et l’impact des incidents ne cessent de croître et représentent une menace considérable pour le fonctionnement des réseaux et des systèmes d’information. En conséquence, les incidents peuvent nuire à la poursuite des activités économiques sur le marché intérieur, entraîner des pertes financières, entamer la confiance des utilisateurs et causer un préjudice majeur à l’économie et la société de l’Union. La préparation à la cybersécurité et l’effectivité de la cybersécurité sont dès lors plus essentielles que jamais pour le bon fonctionnement du marché intérieur. En outre, la cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente NIS 2 et s'appuie sur l'écosystème national (CIRCL.lu, GOVCERT, HCPN) pour calibrer ses attentes en matière de posture cyber. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose NIS 2 et confie a l'ILR la désignation des operateurs essentiels et importants, la reception des notifications d'incident et le pouvoir d'inspection et de sanction.

Pratique Luxgap : connecter votre veille menacé aux flux CIRCL.lu MISP des le demarrage permet de démontrer une posture alignee sur l'écosystème national, critère apprecie lors des contrôles ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant pose la philosophie de NIS 2 : la cybersécurité n'est plus une option technique, c'est une condition du marché interieur. En pratique, l'ILR et la Commission européenne s'appuient sur cet esprit pour rejeter les approches minimalistes lors des contrôles. Une entité qui se contente d'un pare-feu et d'un antivirus, sans démarché structuree d'analyse des menacés et de coordination transfrontalière, ne repond pas a l'intention du legislateur, même si elle coche formellement quelques cases techniques. Les autorités cherchent une posture de cybersécurité démontrable, pas une checklist statique.

Comment traduire l'intention du considérant 3 en mesures concretes

Cartographier l'ensemble des réseaux et systèmes d'information critiques, y compris les flux transfrontaliers (filiales, prestataires UE, hebergeurs hors LU).
Adopter une veille active sur le paysage des cybermenaces (ENISA Threat Landscape annuel, bulletins CIRCL.lu, alertes CERT-EU).
Documenter la fréquence et l'impact potentiel des incidents sectoriels pour calibrer les mesures de l'article 21.
Mettre en place des réponses coordonnees entre filiales et entités du groupe, pas en silo national.
Tenir un journal d'amelioration continue qui montre que la posture evolue au rythme des menacés.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Landscape Sentinel transforme la veille cyber abstraite en posture démontrable et opposable a l'ILR. L'outil agrege en continu les flux ENISA, CIRCL.lu, CERT-EU, MISP et les feeds sectoriels (FS-ISAC, H-ISAC), les croise avec votre cartographie d'actifs reels extraite de Microsoft Defender, CrowdStrike, Azure Sentinel ou Wazuh, et calcule un score d'exposition spécifique a votre secteur NIS 2 (energie, santé, finance, administration, infrastructure numérique).

Detecte chaque nouvelle menacé publiee dans les feeds officiels et calcule en temps reel son impact potentiel sur vos systèmes reellement deployes, sans demander au RSSI de lire les bulletins.
Classifie les incidents observes dans votre secteur par fréquence et sophistication selon la taxonomie ENISA, pour justifier devant l'ILR le niveau des mesures article 21.
Genere mensuellement un rapport PDF horodate qui démontré l'évolution de votre posture face au paysage des menacés, opposable lors d'une inspection.
Alerte instantanement sur Teams ou Slack lorsque qu'une vulnerabilite critique touche un composant present dans votre SI.
Suit la dimension transfrontalière (filiales, prestataires UE, dependances cloud hors LU) et signale les divergences de posture entre entités du groupe.
Produit le dossier d'accountability NIS 2 prerempli, structure selon les attentes de l'ILR et alignement ENISA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 3

Ils nous font confiance

Avant de discuter