Je dois mettre mon organisation luxembourgeoise en conformité au considérant 40 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 40 organise la circulation transfrontiere des notifications d'incident via les points de contact uniques (PCU). En pratique, les entités essentielles et importantes notifient au CSIRT national (au Luxembourg, GOVCERT pour le secteur public et CIRCL pour le secteur privé), mais oublient que si l'incident touche des filiales, clients ou fournisseurs dans d'autres états membres, le PCU luxembourgeois doit pouvoir transmettre l'information aux PCU étrangers. L'ILR sanctionné les entités qui notifient de manière parcellaire, sans cartographier la dimension transfrontiere de l'incident, rendant impossible la coordination européenne attendue par la directive.Ce que le considérant 40 impose concretement a votre dispositif d'incidentVotre playbook de notification doit identifier des la premiere heure si l'incident a un impact transfrontiere : filiales UE touchees, clients UE affectes, fournisseurs UE compromis, services UE indisponibles.La notification au CSIRT national doit contenir une section explicite sur les états membres concernes, pour permettre au PCU de déclencher la transmission prévue par le considérant 40.Si vous êtes une entité financiere soumise a DORA (UE 2022/2554), votre notification CSSF peut être relayee au PCU NIS 2 : votre procédure interne doit prévoir cette passerelle bidirectionnelle pour eviter la double notification incoherente.La coordination intersectorielle nationale (santé, energie, finance, telecom) passe aussi par le PCU : un incident chez votre fournisseur cloud peut concerner plusieurs secteurs réglementés simultanement.Conservez la preuve horodatee de chaque échange avec le CSIRT et le PCU, opposable en cas d'inspection ILR.Comment Luxgap automatise ce risqueNotre Luxgap Cross-Border Incident Router transforme votre cellule de crise en machine de notification multi-juridictionnelle qui qualifié automatiquement la portee transfrontiere d'un incident en moins de 15 minutes. L'outil ingere les alertes de votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon) et croise en temps reel les actifs touches avec votre cartographie d'implantations UE, vos contrats clients GDPR et vos flux de données inter-filiales, pour produire la liste des PCU étrangers a alerter via le PCU luxembourgeois.Detecte automatiquement la dimension transfrontiere d'un incident en correlant les IP, hostnames et tenants compromis avec votre registre des implantations et des clients UE.Genere les notifications pre-remplies pour l'ILR, le CSIRT national (GOVCERT ou CIRCL) et la CSSF en parallele, avec mapping automatique des champs DORA vers NIS 2.Identifié en temps reel les états membres affectes a déclarer au PCU, en s'appuyant sur la localisation des données, des utilisateurs et des services critiques touches.Alerte les dirigeants par Teams ou Signal des que le seuil d'incident important au sens de l'article 23 NIS 2 est susceptible d'être franchi, avec compte a rebours sur les délais 24h / 72h / 1 mois.Pro...

Considérant 40 NIS 2 — Considérant 40

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 40

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(40)

Les points de contact uniques devraient assurer une coopération transfrontière efficace avec les autorités compétentes des autres États membres et, s’il y a lieu, avec la Commission et l’ENISA. Les points de contact uniques devraient dès lors être chargés de transmettre les notifications d’incidents importants ayant un impact transfrontière aux points de contact uniques des autres États membres touchés à la demande du CSIRT ou de l’autorité compétente. Au niveau national, les points de contact uniques devraient permettre une coopération intersectorielle harmonieuse avec les autorités compétentes. Les points de contact uniques pourraient également être les destinataires des informations pertinentes portant sur les incidents concernant les entités du secteur financier fournies par les autorités compétentes en vertu du règlement (UE) 2022/2554, qu’ils devraient pouvoir transmettre, s’il y a lieu, aux CSIRT ou aux autorités compétentes en vertu de la présente directive.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité competente et point de contact unique national au sens du considérant 40. Les CSIRT opérationnels sont GOVCERT.LU pour les entités publiques et CIRCL (Computer Incident Response Center Luxembourg, opère par le SECURITYMADEIN.LU) pour les entités privées. Les entités financieres soumises a DORA notifient en parallele a la CSSF, qui peut relayer l'information au PCU ILR pour transmission transfrontiere.

Pratique Luxgap : cartographiez en amont vos trois canaux de notification (CSIRT competent, ILR comme PCU, CSSF si applicable) et formalisez par ecrit qui déclenche quoi dans les 24 premieres heures, pour eviter la notification manquante ou la double notification incoherente.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 40 organise la circulation transfrontiere des notifications d'incident via les points de contact uniques (PCU). En pratique, les entités essentielles et importantes notifient au CSIRT national (au Luxembourg, GOVCERT pour le secteur public et CIRCL pour le secteur privé), mais oublient que si l'incident touche des filiales, clients ou fournisseurs dans d'autres états membres, le PCU luxembourgeois doit pouvoir transmettre l'information aux PCU étrangers. L'ILR sanctionné les entités qui notifient de manière parcellaire, sans cartographier la dimension transfrontiere de l'incident, rendant impossible la coordination européenne attendue par la directive.

Ce que le considérant 40 impose concretement a votre dispositif d'incident

Votre playbook de notification doit identifier des la premiere heure si l'incident a un impact transfrontiere : filiales UE touchees, clients UE affectes, fournisseurs UE compromis, services UE indisponibles.
La notification au CSIRT national doit contenir une section explicite sur les états membres concernes, pour permettre au PCU de déclencher la transmission prévue par le considérant 40.
Si vous êtes une entité financiere soumise a DORA (UE 2022/2554), votre notification CSSF peut être relayee au PCU NIS 2 : votre procédure interne doit prévoir cette passerelle bidirectionnelle pour eviter la double notification incoherente.
La coordination intersectorielle nationale (santé, energie, finance, telecom) passe aussi par le PCU : un incident chez votre fournisseur cloud peut concerner plusieurs secteurs réglementés simultanement.
Conservez la preuve horodatee de chaque échange avec le CSIRT et le PCU, opposable en cas d'inspection ILR.

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border Incident Router transforme votre cellule de crise en machine de notification multi-juridictionnelle qui qualifié automatiquement la portee transfrontiere d'un incident en moins de 15 minutes. L'outil ingere les alertes de votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon) et croise en temps reel les actifs touches avec votre cartographie d'implantations UE, vos contrats clients GDPR et vos flux de données inter-filiales, pour produire la liste des PCU étrangers a alerter via le PCU luxembourgeois.

Detecte automatiquement la dimension transfrontiere d'un incident en correlant les IP, hostnames et tenants compromis avec votre registre des implantations et des clients UE.
Genere les notifications pre-remplies pour l'ILR, le CSIRT national (GOVCERT ou CIRCL) et la CSSF en parallele, avec mapping automatique des champs DORA vers NIS 2.
Identifié en temps reel les états membres affectes a déclarer au PCU, en s'appuyant sur la localisation des données, des utilisateurs et des services critiques touches.
Alerte les dirigeants par Teams ou Signal des que le seuil d'incident important au sens de l'article 23 NIS 2 est susceptible d'être franchi, avec compte a rebours sur les délais 24h / 72h / 1 mois.
Produit un journal d'incident cryptographiquement scelle, horodate, opposable a l'ILR lors d'une inspection pour démontrer la conformité aux délais et a la coordination transfrontiere.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle d'implantations UE, avec un audit blanc gratuit sous 48h pour mesurer votre exposition transfrontiere avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 40

Ils nous font confiance

Avant de discuter