Je dois mettre mon organisation luxembourgeoise en conformité au considérant 35 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 35 elargit le périmètre NIS 2 a tous les fournisseurs de services de centre de données, même ceux qui ne font PAS de cloud. Le piège en pratique : des operateurs luxembourgeois de colocation, d'hébergement physique ou de salles techniques mutualisees pensent être hors scope parce qu'ils ne vendent pas de IaaS. C'est faux. L'ILR designera comme entités essentielles ou importantes les fournisseurs de colocation, de hosting de baies, et d'infrastructures partagées, des qu'ils depassent les seuils des annexes I/II. Seuls les datacenters internes 100% captifs (un groupe bancaire qui exploite SA salle pour SES propres besoins, sans mutualisation) restent hors NIS 2.Le test concret pour qualifier votre infrastructureLe considérant donne une définition large mais opposable. Posez-vous ces questions pour determiner si vous êtes visé :Hebergez-vous des équipements IT pour des tiers, même une seule filiale juridiquement distincte ? Si oui, ce n'est plus in-house.Fournissez-vous interconnexion, distribution electrique redondee ou contrôle environnemental dedie ? Le considérant 35 cite explicitement ces installations.Votre site herberge-t-il les équipements réseau de transit ou de stockage pour des clients externes (telcos, integrateurs, SaaS) ?Etes-vous proprietaire ET exploitant unique des équipements ? La double condition de l'exemption in-house doit être remplie.Avez-vous un contrat de service, même intragroupe avec refacturation, qui formalise la prestation ? Cela bascule en service au sens NIS 2.Attention au piège intragroupe : un datacenter exploite par une entité holding pour ses filiales opérationnelles n'est PAS in-house au sens strict du considérant 35, car les beneficiaires sont des entités juridiques distinctes.Comment Luxgap automatise ce risqueNotre Luxgap Datacenter Scope Classifier tranche en moins de 48h la question etes-vous dans le scope NIS 2 datacenter ou non, avec un avis juridique opposable signe. L'outil croise vos contrats de prestation (Odoo, SAP), votre cadastre d'équipements (CMDB ServiceNow, GLPI, Lansweeper), vos factures d'energie et de refroidissement, et vos schemas réseau (NetBox, SolarWinds) pour reconstituer la réalité opérationnelle de votre site, puis confronte cette réalité a la grille de qualification du considérant 35.Cartographie automatiquement les flux de prestation entre votre entité proprietaire des murs et les entités consommatrices, pour détecter toute relation non-in-house.Identifié via vos contrats les clients tiers hébergés, même occasionnels (DRP, archivage, colocation ponctuelle), qui déclenchent le scope NIS 2.Calcule le ratio de mutualisation (puissance dediee aux tiers / puissance totale) et alerte des le premier kVA refacture a une entité juridique distincte.Produit un rapport de qualification horodate, opposable a l'ILR, qui justifie soit votre exclusion in-house, soit votre enregistrement comme entité importante annexe II.Surveille en continu les nouveaux contrats ...

Considérant 35 NIS 2 — Considérant 35

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 35

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(35)

Il se peut que les services proposés par les fournisseurs de services de centre de données ne soient pas fournis sous la forme de service d’informatique en nuage. En conséquence, il se peut que les centres de données ne fassent pas partie d’une infrastructure d’informatique en nuage. Afin de gérer l’ensemble des risques qui menacent la sécurité des réseaux et des systèmes d’information, la présente directive devrait dès lors couvrir les fournisseurs de services de centres de données qui ne sont pas des services d’informatique en nuage. Aux fins de la présente directive, le terme «service de centre de données» devrait couvrir la fourniture d’un service qui englobe les structures, ou les groupes de structures, dédiées à l’hébergement, l’interconnexion et l’exploitation centralisés des équipements de technologie de l’information (TI) et de réseau fournissant des services de stockage, de traitement et de transport des données, ainsi que l’ensemble des installations et des infrastructures de distribution d’électricité et de contrôle environnemental. Le terme «service de centre de données» ne devrait pas s’appliquer aux centres de données internes propres à une entreprise et exploités par l’entité concernée pour ses propres besoins.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente pour désigner les fournisseurs de services de centre de données comme entités essentielles ou importantes au titre de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Le Luxembourg accueille une concentration exceptionnelle d'operateurs vises (LuxConnect, eBRC, POST Telecom, Datacenter Luxembourg) et l'ILR applique une lecture stricte de l'exemption in-house du considérant 35 : un datacenter intragroupe servant plusieurs entités juridiques distinctes du groupe est qualifié comme service au sens NIS 2.

Pratique Luxgap : si votre groupe exploite une salle technique a Bissen, Bettembourg, Kayl ou Roost qui sert ne serait-ce qu'une filiale distincte, anticipez l'enregistrement auprès de l'ILR plutot que de l'attendre, car la désignation d'office exposé a des sanctions administratives jusqu'à 7 M'EUR ou 1,4% du CA mondial pour les entités importantes.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 35 elargit le périmètre NIS 2 a tous les fournisseurs de services de centre de données, même ceux qui ne font PAS de cloud. Le piège en pratique : des operateurs luxembourgeois de colocation, d'hébergement physique ou de salles techniques mutualisees pensent être hors scope parce qu'ils ne vendent pas de IaaS. C'est faux. L'ILR designera comme entités essentielles ou importantes les fournisseurs de colocation, de hosting de baies, et d'infrastructures partagées, des qu'ils depassent les seuils des annexes I/II. Seuls les datacenters internes 100% captifs (un groupe bancaire qui exploite SA salle pour SES propres besoins, sans mutualisation) restent hors NIS 2.

Le test concret pour qualifier votre infrastructure

Le considérant donne une définition large mais opposable. Posez-vous ces questions pour determiner si vous êtes visé :

Hebergez-vous des équipements IT pour des tiers, même une seule filiale juridiquement distincte ? Si oui, ce n'est plus in-house.
Fournissez-vous interconnexion, distribution electrique redondee ou contrôle environnemental dedie ? Le considérant 35 cite explicitement ces installations.
Votre site herberge-t-il les équipements réseau de transit ou de stockage pour des clients externes (telcos, integrateurs, SaaS) ?
Etes-vous proprietaire ET exploitant unique des équipements ? La double condition de l'exemption in-house doit être remplie.
Avez-vous un contrat de service, même intragroupe avec refacturation, qui formalise la prestation ? Cela bascule en service au sens NIS 2.

Attention au piège intragroupe : un datacenter exploite par une entité holding pour ses filiales opérationnelles n'est PAS in-house au sens strict du considérant 35, car les beneficiaires sont des entités juridiques distinctes.

Comment Luxgap automatise ce risque

Notre Luxgap Datacenter Scope Classifier tranche en moins de 48h la question etes-vous dans le scope NIS 2 datacenter ou non, avec un avis juridique opposable signe. L'outil croise vos contrats de prestation (Odoo, SAP), votre cadastre d'équipements (CMDB ServiceNow, GLPI, Lansweeper), vos factures d'energie et de refroidissement, et vos schemas réseau (NetBox, SolarWinds) pour reconstituer la réalité opérationnelle de votre site, puis confronte cette réalité a la grille de qualification du considérant 35.

Cartographie automatiquement les flux de prestation entre votre entité proprietaire des murs et les entités consommatrices, pour détecter toute relation non-in-house.
Identifié via vos contrats les clients tiers hébergés, même occasionnels (DRP, archivage, colocation ponctuelle), qui déclenchent le scope NIS 2.
Calcule le ratio de mutualisation (puissance dediee aux tiers / puissance totale) et alerte des le premier kVA refacture a une entité juridique distincte.
Produit un rapport de qualification horodate, opposable a l'ILR, qui justifie soit votre exclusion in-house, soit votre enregistrement comme entité importante annexe II.
Surveille en continu les nouveaux contrats signes dans votre ERP et alerte si une clause d'hébergement bascule votre site hors exemption.
Pre-remplit le formulaire d'enregistrement ILR avec les données techniques exigees (capacite, redondance Tier, périmètre géographique).

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre infrastructure reelle, avec un audit blanc gratuit sous 48h pour qualifier votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 35

Ils nous font confiance

Avant de discuter