Je dois mettre mon organisation luxembourgeoise en conformité au considérant 31 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 31 NIS 2 — Considérant 31

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 31

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(31)

Les entités appartenant au secteur des infrastructures numériques sont par nature fondées sur les réseaux et les systèmes d’information et, par conséquent, les obligations qui leur incombent en vertu de la présente directive devraient porter, de manière globale, sur la sécurité physique de ces systèmes, dans le cadre de leurs mesures de gestion des risques en matière de cybersécurité et de leurs obligations d’information. Ces questions étant régies par la présente directive, les obligations prévues aux chapitres III, IV et VI de la directive (UE) 2022/2557 ne s’appliquent pas à ces entités.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente unique pour les operateurs d'infrastructure numérique désignés essentiels ou importants au titre de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). La place luxembourgeoise concentre une densite exceptionnelle de datacenters Tier IV (eBRC, LuxConnect, Datacenter Luxembourg) et l'ILR attend une demonstration documentee de la sécurité physique au sens du considérant 31, sans renvoi a un autre regime.

Pratique Luxgap : exigez de vos prestataires de colocation une attestation spécifique NIS 2 couvrant les mesures physiques article 21, distincte de leur certification ISO 27001 ou EN 50600 générique.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 31 evite le double regime pour les infrastructures numériques (DNS, TLD, datacenters, cloud, CDN, points d'échange). Les autorités, ILR en tête, sanctionnent les entités qui pensent être exemptees de sécurité physique parce qu'elles sont 'numériques'. Or NIS 2 absorbe la sécurité physique des datacenters, salles serveurs et points de presence dans ses mesures de gestion des risques. L'erreur classique : un operateur de cloud luxembourgeois qui documente son chiffrement et son IAM, mais oublie le contrôle d'accès biometrique au datacenter, la détection incendie ou la redondance electrique, croyant que cela relevé de CER (directive 2022/2557) qui ne s'applique pas a lui.

Le périmètre physique a couvrir dans vos mesures NIS 2

Contrôle d'accès physique des salles serveurs et locaux techniques (badges, biometrie, journaux d'accès conserves)
Détection et suppression incendie adaptee (gaz inerte, VESDA) dans les salles techniques
Alimentation electrique redondante (onduleurs, groupes electrogenes, double adduction)
Climatisation et contrôle hygrometrique avec supervision 24/7
Protection contre les intrusions, video-surveillance, rondes de sécurité
Résilience des points de presence réseau et des liens de transport (chemins physiques distincts)
Procédures de destruction sécurisée des supports (disques, bandes) en fin de vie
Plans de continuite couvrant les scénarios physiques (incendie, inondation, coupure electrique prolongee)

Cette intégration evite que vous deviez documenter deux fois la même chose pour deux autorités differentes : tout passe par l'ILR sous NIS 2.

Comment Luxgap automatise ce risque

Notre Luxgap Physical-Cyber Fusion Audit elimine l'angle mort qui fait tomber les operateurs d'infrastructure numérique en contrôle ILR : la convergence entre sécurité physique du datacenter et mesures NIS 2 article 21. L'outil fusionne en un seul référentiel auditable vos systèmes de contrôle d'accès physique (Lenel, Bosch, Genetec), vos sondes environnementales (APC, Schneider EcoStruxure), votre GTB/GTC et vos outils cyber (Defender, Sentinel, Wazuh), pour produire une vue unifiée de la posture de sécurité reelle de vos installations.

Detecte automatiquement les ecarts entre votre documentation NIS 2 déclarative et la réalité terrain de vos datacenters via les logs des systèmes de contrôle d'accès et de la GTB.
Correle les événements physiques (porté forcee, coupure electrique, alerte incendie) avec les événements cyber (deconnexion d'un noeud, perte de heartbeat) pour révéler les attaques hybrides.
Cartographie vos sites eBRC, LuxConnect, Datacenter Luxembourg et points de presence selon les critères physiques attendus par l'ILR : redondance N+1, certification Tier, conformité EN 50600.
Genere un rapport PDF horodate cryptographiquement scelle, opposable a l'ILR, demontrant la couverture complète article 21 incluant la sécurité physique au sens du considérant 31.
Alerte en temps reel via Teams ou Slack quand une mesure physique se degrade (groupe electrogene non teste depuis 90 jours, badge orphelin actif, sonde temperature hors seuil).
Pre-remplit la notification d'incident ILR sous 24h en agregeant automatiquement les telemetries physiques et cyber pertinentes au moment T.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre d'infrastructure. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre datacenter reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition convergente avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 31

Ils nous font confiance

Avant de discuter