Je dois mettre mon organisation luxembourgeoise en conformité au considérant 39 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 39 NIS 2 — Considérant 39

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 39

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(39)

Afin de faciliter la coopération et la communication transfrontières entre les autorités et pour permettre la mise en œuvre effective de la présente directive, il est nécessaire que chaque État membre désigne un point de contact unique chargé de coordonner les tâches liées à la sécurité des réseaux et des systèmes d’information et de la coopération transfrontière au niveau de l’Union.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, c'est l'ILR (Institut Luxembourgeois de Régulation) qui exerce les fonctions de point de contact unique au sens du considérant 39 et de l'article 8(3) de NIS 2. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné explicitement l'ILR comme SPOC national et autorité competente, et lui confie la coordination avec les SPOC étrangers ainsi que la transmission au groupe de cooperation et a ENISA.

Pratique Luxgap : si votre entité essentielle ou importante a son établissement principal au Luxembourg au sens de l'article 26, toutes vos notifications transfrontalières doivent partir de l'ILR. Verifiez que votre playbook d'incident désigné nominativement l'ILR comme SPOC primaire et intégré le portail de notification dedie, pas uniquement la CNPD ou un CSIRT sectoriel.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 39 institue le point de contact unique (SPOC) comme noeud de coordination transfrontalière. En pratique, beaucoup d'entités essentielles et importantes ignorent que leurs incidents transfrontaliers passent par ce SPOC national (au Luxembourg, l'ILR) qui les relaye aux autres états membres via le CSIRTs Network et le groupe de cooperation NIS. Résultat : un incident affectant une filiale en Belgique ou en France peut déclencher une notification croisee non maitrisee, ou pire, une absence de coordination qui aggrave la sanction lors de l'inspection.

Ce que le SPOC change concretement pour vous

Vos notifications d'incident early warning 24h et rapport 72h transitent par l'ILR, qui peut les transmettre aux SPOC des autres états impactes.
Si vous operez dans plusieurs états membres, l'identification de votre état membre principal (article 26) determine quel SPOC pilote la coordination, et donc quelle autorité mene l'inspection.
Les demandes d'assistance mutuelle entre autorités transitent par les SPOC : vos documents peuvent être partagés entre régulateurs sans nouvelle saisine de votre part.
Le SPOC luxembourgeois publie un rapport annuel synthetique au point de contact ENISA, ce qui rend vos incidents visibles dans les statistiques agregees UE.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border Incident Router elimine l'angle mort de la coordination transfrontalière : des qu'un incident est detecte dans votre SOC, l'outil identifié automatiquement les états membres impactes, le SPOC competent, et prepare les notifications dans le format attendu par chaque autorité. Un agent LLM spécialisé analyse les logs Defender, Sentinel, CrowdStrike ou Wazuh, qualifié l'incident selon les critères NIS 2 article 23, et redige les trois notifications obligatoires (alerte précoce 24h, notification 72h, rapport final 1 mois) dans la langue du SPOC destinataire.

Detecte automatiquement la dimension transfrontalière d'un incident en croisant vos flux de données, vos filiales et la localisation des systèmes affectes.
Identifié le SPOC competent par état membre et pre-remplit le formulaire de notification dans le format ILR, ANSSI, BSI ou CCB selon la destination.
Genere un timeline horodate cryptographiquement scelle des actions de containment, opposable lors d'une inspection coordonnee entre autorités.
Synchronise les communications avec les autres SPOC pour eviter les versions divergentes envoyees a chaque régulateur national.
Produit un dossier de cooperation transfrontalière consultable par l'ILR sur demande, demontrant votre transparence et reduisant le risque de sanction aggravee.
Alerte vos équipes juridiques et dirigeants en temps reel des qu'une notification depasse le seuil d'impact significatif defini par l'article 23(3).

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux d'incidents reels, avec un audit blanc gratuit sous 48h pour cartographier votre exposition transfrontalière avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 39

Ils nous font confiance

Avant de discuter