Je dois mettre mon organisation luxembourgeoise en conformité au considérant 32 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 32 NIS 2 — Considérant 32

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 32

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(32)

Le fait de soutenir et préserver un système de noms de domaine (DNS) fiable, résilient et sécurisé constitue un facteur crucial pour la protection de l’intégrité d’internet et est essentiel à son fonctionnement continu et stable, dont dépendent l’économie numérique et la société. Par conséquent, la présente directive devrait s’appliquer aux registres de noms de domaine de premier niveau et aux fournisseurs de services DNS, qui doivent s’entendre comme des entités fournissant des services de résolution de noms de domaine récursifs publiquement disponibles pour les utilisateurs finaux de l’internet ou des services de résolution de noms de domaine faisant autorité pour l’utilisation par des tiers. La présente directive ne devrait pas s’appliquer aux serveurs racines de noms de domaine.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente pour NIS 2 et recoit les notifications d'incident DNS sous 24h (alerte précoce) puis 72h (notification formelle), conformément a la loi du 28 juillet 2023 relative a la cybersécurité modifiee par la loi du 28 juillet 2025. Le registre .lu est opère par DNS-LU (Restena), qualifié d'entité essentielle, et la pratique locale impose DNSSEC active sur les domaines des operateurs essentiels.

Pratique Luxgap : nous documentons votre chaîne DNS jusqu'au registre DNS-LU et integrons le canal de notification ILR directement dans le workflow d'incident, pour respecter le délai des 24h sans improvisation.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 32 etend explicitement NIS 2 aux registres TLD et aux fournisseurs DNS (resolveurs recursifs publics et serveurs faisant autorité). En pratique, l'ILR sanctionné deux confusions : croire qu'un resolveur DNS interne d'entreprise échappe au scope (faux des qu'il sert des tiers ou est exposé), et négliger la chaîne de dependance DNS lorsqu'on est une entité essentielle qui délégué sa zone a un prestataire non identifié comme sous-traitant critique. Les serveurs racines sont exclus, mais tout le reste de la chaîne est dans le périmètre.

Le test concret pour savoir si vous êtes concerne

Vous gerez un TLD (.lu, .eu, gTLD) : registre concerne en tant qu'entité essentielle.
Vous operez un resolveur recursif publiquement accessible (FAI, hyperscaler, service public 1.1.1.1-like) : concerne.
Vous héberger des zones DNS faisant autorité pour des tiers (registrar, hebergeur DNS managed) : concerne.
Vous operez un DNS purement interne (Active Directory, split-horizon privé) : hors scope DNS, mais reste couvert si vous êtes entité essentielle ou importante par ailleurs.
Vous deleguez votre DNS a Cloudflare, AWS Route 53, Gandi, EBRC : ces prestataires deviennent une dependance critique a documenter dans votre chaîne d'approvisionnement (article 21).

L'angle souvent oublie : la résilience DNS de vos propres domaines

Même si vous n'êtes pas fournisseur DNS, NIS 2 vous oblige a traiter la résilience de vos domaines comme une mesure de sécurité. Un domaine expire, un DNSSEC casse, un registrar compromis ou un seul fournisseur DNS sans secondaire ouvrent des incidents de disponibilite notifiables a l'ILR sous 24h.

Comment Luxgap automatise ce risque

Notre Luxgap DNS Résilience Sentinel transforme la surveillance DNS d'une checklist annuelle en sonde temps reel qui sait, a la minute, si votre chaîne de resolution tiendrait un incident notifiable. L'outil interroge en continu vos zones depuis 12 points de presence européens, croise les réponses avec les bases registrar (EURid, DNS-LU, ICANN RDAP), et detecte les derives DNSSEC, les expirations imminentes, les NS orphelins et les changements non autorises avant qu'ils ne deviennent un incident ILR.

Scanne toutes les 5 minutes la coherence DNSSEC (signatures, DS records, chaîne de confiance) sur chacune de vos zones et alerte sur Teams ou Slack des qu'une rupture apparait.
Detecte les domaines en expiration sous 90 jours via interrogation RDAP des registrars et empeche les pertes de zones critiques.
Cartographie votre chaîne de dependance DNS reelle (registrar, hebergeur DNS primaire et secondaire, anycast network) et classifie chaque maillon comme dependance critique au sens NIS 2 article 21.
Simule des scénarios de panne (perte du DNS primaire, hijack de NS, compromission du compte registrar) et calcule un score de résilience opposable a l'ILR.
Genere automatiquement le dossier d'incident DNS pre-rempli pour la notification 24h, avec timeline, IOC et impact.
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une inspection ILR, qui démontré la surveillance continue exigee par NIS 2.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos zones reelles, avec un audit blanc gratuit sous 48h pour mesurer votre exposition DNS avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 32

Ils nous font confiance

Avant de discuter