Je dois mettre mon organisation luxembourgeoise en conformité au considérant 38 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 38 NIS 2 — Considérant 38

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 38

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(38)

Compte tenu des divergences entre les structures de gouvernance nationales et en vue de sauvegarder les accords sectoriels existants ou les autorités de surveillance et de régulation de l’Union, les États membres devraient pouvoir désigner ou créer une ou plusieurs autorités compétentes chargées de la cybersécurité et des tâches de supervision dans le cadre de la présente directive.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité nationale competente NIS 2, en charge de la désignation des entités essentielles et importantes, de la reception des notifications d'incident, des inspections et des sanctions administratives. Mais la supervision reste empilee : la CSSF garde sa competence sur les acteurs financiers (DORA, circulaire 24/847), la CNPD sur la dimension données personnelles, et la BCL sur certaines infrastructures de paiement.

Pratique Luxgap : établir, des le premier jour de qualification NIS 2, une matrice ecrite des autorités competentes signee par la direction generale, et la rejouer a chaque exercice de crise. Cette matrice est le premier document que l'ILR demande en cas de contrôle.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 38 autorise les états membres a désigner plusieurs autorités competentes sectorielles. En pratique, beaucoup d'entités essentielles ou importantes ignorent quelle autorité les supervise reellement : ILR pour le tronc commun NIS 2 au Luxembourg, mais CSSF pour les acteurs financiers via DORA, BCL pour certaines infrastructures de paiement, CNPD si l'incident touche des données personnelles. Cette pluralite genere des notifications mal aiguillees, des délais rates et des sanctions cumulees.

La cartographie de supervision a établir avant tout incident

Identifier l'autorité NIS 2 principale selon le secteur d'annexe I ou II (energie, transport, santé, infrastructure numérique, banque...).
Lister les régulateurs sectoriels paralleles : CSSF pour la finance, ILR pour telecoms et cyber, CNPD pour données personnelles, ITM pour SST, BCL pour paiements.
Documenter les obligations de notification croisees : un même incident peut déclencher 3 a 4 notifications (NIS 2, RGPD article 33, DORA, CSSF circulaire 22/806).
établir une matrice de coordination interne : qui notifié quoi, a qui, dans quel délai, avec quel formulaire.
Tester la matrice via un exercice de gestion de crise au moins une fois par an.

Le piège spécifique au Luxembourg

Le Luxembourg a fait le choix d'une supervision multi-autorites. Une fintech régulée CSSF qui subit un ransomware doit notifier l'ILR (NIS 2), la CSSF (circulaire 24/847 et DORA), la CNPD (RGPD si données personnelles), et potentiellement la BCL. Chaque autorité a son canal, son délai et son formulaire. Une notification manquante ou tardive est une infraction autonome.

Comment Luxgap automatise ce risque

Notre Luxgap Regulator Router elimine le risque de mauvaise notification en cartographiant en amont, pour votre entité, l'ensemble des autorités competentes a alerter selon la typologie d'incident. L'outil interroge en continu vos systèmes (SIEM Azure Sentinel, Defender XDR, Wazuh, CrowdStrike, ServiceNow ITSM) et, des qu'un incident est qualifié, déclenche le bon canal de notification avec le bon formulaire prerempli, dans le bon délai légal.

Classifie chaque entité juridique du groupe selon son secteur NIS 2 (annexe I ou II), son statut DORA, sa supervision CSSF, et identifié les autorités competentes empilees.
Detecte en temps reel les incidents qualifiants via intégration native Sentinel, Defender, CrowdStrike et Wazuh, et evalue les seuils de notification de chaque regime.
Genere les notifications pre-remplies aux formats ILR, CSSF, CNPD et BCL, avec les champs obligatoires deja peuples à partir du ticket SIEM.
Decompte les délais légaux paralleles (24h alerte précoce NIS 2, 72h RGPD, 4h DORA majeur) sur un tableau de bord unique avec alertes Teams.
Produit un rapport PDF horodate, cryptographiquement scelle, opposable lors d'un contrôle ILR ou CSSF, demontrant que chaque autorité a ete notifiée dans les délais.
Met à jour automatiquement la matrice de supervision lorsque la transposition luxembourgeoise evolue (loi du 28 juillet 2025).

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle d'autorités competentes, avec un audit blanc gratuit sous 48h pour mesurer votre exposition multi-regulateurs avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 38

Ils nous font confiance

Avant de discuter