Je dois mettre mon organisation luxembourgeoise en conformité au considérant 36 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 36 elargit le périmètre NIS 2 aux organismes de recherché qui exploitent commercialement leurs travaux. Beaucoup d'incubateurs, spin-offs universitaires, centres de R&D privés ou laboratoires industriels pensent être hors champ parce qu'ils ne sont pas un 'operateur d'infrastructure critique'. L'ILR peut pourtant les désigner entités importantes si leur recherché appliquee alimente une chaîne de valeur européenne. Le piège : se croire exclu jusqu'au jour ou un partenaire industriel exige une attestation NIS 2 pour continuer la collaboration.Qui est concerne et a quel titreRecherché appliquee ou développement experimental au sens du Manuel Frascati 2015 de l'OCDE, des lors que l'objectif est l'exploitation commerciale du résultat (produit, procede, service).Sont exclus a priori : les établissements d'enseignement superieur dont l'activité essentielle est la recherché fondamentale ou l'enseignement, sauf décision nationale contraire.Sont vises en pratique : List Luxembourg Institute of Science and Technology, centres privés type LIH, fondations de recherché biomedicale, spin-offs deeptech, laboratoires industriels de groupes pharmaceutiques ou spatiaux installes au Grand-Duche.Le critère n'est pas la taille seule : un labo de 60 personnes qui developpe un algorithme vendu a un constructeur automobile entre dans la chaîne de valeur.Les données de recherché en cours (résultats préliminaires, brevets non deposes, données patients d'essais cliniques) deviennent des actifs critiques au sens de l'article 21.L'erreur d'auto-qualificationL'ILR attend une analyse documentee de votre statut NIS 2. Répondre 'nous sommes un organisme de recherché, donc exclus' sans démontrer que votre activité n'entre pas dans le critère Frascati d'exploitation commerciale est la faute classique. A l'inverse, se déclarer entité importante sans avoir vérifié les seuils des annexes I et II conduit a sur-conformer et a engager des couts inutiles. La cartographie de la chaîne de valeur (qui sont vos partenaires industriels, qui exploite commercialement vos résultats) est le document clef.Comment Luxgap automatise ce risqueNotre Luxgap Research Scope Classifier tranche en moins de 48h la question 'suis-je dans le périmètre NIS 2 ?' pour les organismes de recherché luxembourgeois et leurs spin-offs. L'outil croise vos contrats de collaboration industrielle (Odoo, DocuSign, SharePoint), vos depots de brevets, vos flux de financement (Horizon Europe, FNR, contrats privés) et votre cartographie de partenaires pour produire une qualification Frascati opposable, plutot qu'une auto-declaration intuitive.Analyse automatiquement vos contrats de recherché pour détecter les clauses d'exploitation commerciale qui déclenchent le périmètre du considérant 36.Classifie chaque projet selon la grille Frascati 2015 (recherché fondamentale, appliquee, développement experimental) via un agent LLM spécialisé OCDE.Cartographie la chaîne de valeur en aval : quels parten...

Considérant 36 NIS 2 — Considérant 36

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 36

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(36)

Les activités de recherche jouent un rôle clé dans le développement de nouveaux produits et processus. Nombre de ces activités sont menées par des entités qui partagent, diffusent ou exploitent les résultats de leurs recherches à des fins commerciales. Ces entités peuvent donc être des acteurs importants dans les chaînes de valeur, ce qui fait de la sécurité de leurs réseaux et systèmes d’information une partie intégrante de la cybersécurité globale du marché intérieur. L’expression «organismes de recherche» devrait s’entendre comme incluant les entités qui concentrent l’essentiel de leurs activités sur la conduite de la recherche appliquée ou du développement expérimental, au sens du Manuel de Frascati 2015 de l’Organisation de coopération et de développement économiques: Lignes directrices pour le recueil et la communication des données sur la recherche et le développement expérimental, en vue d’exploiter leurs résultats à des fins commerciales, telles que la fabrication ou la mise au point d’un produit ou d’un processus, la fourniture d’un service, ou la commercialisation d’un produit, d’un processus ou d’un service.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour qualifier les organismes de recherché comme entités essentielles ou importantes. L'écosystème luxembourgeois etant dense (LIST, LIH, LISER, Luxinnovation, House of BioHealth, Technoport), la frontière entre recherché academique et exploitation commerciale est particulièrement floue : un projet finance par le FNR peut basculer en périmètre NIS 2 des qu'une spin-off depose un brevet exploitable.

Pratique Luxgap : nous recommandons aux centres de recherché luxembourgeois de produire une qualification Frascati documentee par projet et de la notifier proactivement a l'ILR plutot que d'attendre une désignation d'office, qui déclenche un calendrier de conformité contraint a 21 mois sans phase de préparation negociee.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 36 elargit le périmètre NIS 2 aux organismes de recherché qui exploitent commercialement leurs travaux. Beaucoup d'incubateurs, spin-offs universitaires, centres de R&D privés ou laboratoires industriels pensent être hors champ parce qu'ils ne sont pas un 'operateur d'infrastructure critique'. L'ILR peut pourtant les désigner entités importantes si leur recherché appliquee alimente une chaîne de valeur européenne. Le piège : se croire exclu jusqu'au jour ou un partenaire industriel exige une attestation NIS 2 pour continuer la collaboration.

Qui est concerne et a quel titre

Recherché appliquee ou développement experimental au sens du Manuel Frascati 2015 de l'OCDE, des lors que l'objectif est l'exploitation commerciale du résultat (produit, procede, service).
Sont exclus a priori : les établissements d'enseignement superieur dont l'activité essentielle est la recherché fondamentale ou l'enseignement, sauf décision nationale contraire.
Sont vises en pratique : List Luxembourg Institute of Science and Technology, centres privés type LIH, fondations de recherché biomedicale, spin-offs deeptech, laboratoires industriels de groupes pharmaceutiques ou spatiaux installes au Grand-Duche.
Le critère n'est pas la taille seule : un labo de 60 personnes qui developpe un algorithme vendu a un constructeur automobile entre dans la chaîne de valeur.
Les données de recherché en cours (résultats préliminaires, brevets non deposes, données patients d'essais cliniques) deviennent des actifs critiques au sens de l'article 21.

L'erreur d'auto-qualification

L'ILR attend une analyse documentee de votre statut NIS 2. Répondre 'nous sommes un organisme de recherché, donc exclus' sans démontrer que votre activité n'entre pas dans le critère Frascati d'exploitation commerciale est la faute classique. A l'inverse, se déclarer entité importante sans avoir vérifié les seuils des annexes I et II conduit a sur-conformer et a engager des couts inutiles. La cartographie de la chaîne de valeur (qui sont vos partenaires industriels, qui exploite commercialement vos résultats) est le document clef.

Comment Luxgap automatise ce risque

Notre Luxgap Research Scope Classifier tranche en moins de 48h la question 'suis-je dans le périmètre NIS 2 ?' pour les organismes de recherché luxembourgeois et leurs spin-offs. L'outil croise vos contrats de collaboration industrielle (Odoo, DocuSign, SharePoint), vos depots de brevets, vos flux de financement (Horizon Europe, FNR, contrats privés) et votre cartographie de partenaires pour produire une qualification Frascati opposable, plutot qu'une auto-declaration intuitive.

Analyse automatiquement vos contrats de recherché pour détecter les clauses d'exploitation commerciale qui déclenchent le périmètre du considérant 36.
Classifie chaque projet selon la grille Frascati 2015 (recherché fondamentale, appliquee, développement experimental) via un agent LLM spécialisé OCDE.
Cartographie la chaîne de valeur en aval : quels partenaires industriels recoivent vos livrables, dans quels secteurs des annexes I et II ils opèrent.
Genere le dossier de qualification NIS 2 destine a l'ILR, avec preuves documentaires horodatees et signees electroniquement.
Alerte des qu'un nouveau contrat de collaboration ou une nouvelle spin-off modifie votre statut, evitant les angles morts a 6 mois.
Produit une matrice de criticite par projet de recherché pour prioriser les mesures de l'article 21 sur les actifs reellement stratégiques.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent une qualification Frascati sur votre portefeuille de projets reels, avec un audit blanc gratuit sous 48h pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 36

Ils nous font confiance

Avant de discuter