Je dois mettre mon organisation luxembourgeoise en conformité au considérant 43 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 43 ouvre une porté mal connue : une entité essentielle ou importante peut demander au CSIRT (au Luxembourg, le GOVCERT ou un CSIRT sectoriel coordonne par l'ILR) un scan proactif de ses réseaux. En pratique, les organisations qui sollicitent ce scan sans avoir prepare leur cartographie d'actifs et leur base légale RGPD pour le traitement des logs se retrouvent soit a refuser le scan au dernier moment, soit a exposer des données personnelles sans encadrement. L'ILR sanctionné deja l'inverse : les entités qui n'ont pas de relation opérationnelle documentee avec un CSIRT alors qu'elles auraient pu en bénéficier.Comment transformer ce considérant en avantage opérationnelLe scan CSIRT est déclaratif et volontaire, mais il devient une preuve d'accountability article 21 NIS 2 si vous le tracez correctement.Il faut un accord préalable RGPD entre l'entité et le CSIRT : finalité, durée de conservation des résultats, base légale (intérêt légitime ou obligation légale selon le cas).La cartographie des actifs exposes (IP publiques, sous-domaines, certificats, services SaaS) doit être à jour avant de déclencher le scan, sinon le rapport CSIRT pointe des angles morts dont vous ignorez l'existence.Les résultats du scan doivent être intégrés dans votre plan de remédiation avec dates de cloture, sinon l'ILR considéré que vous aviez connaissance du risque sans agir.Si vous êtes une filiale d'un groupe étranger, verifiez quel CSIRT sectoriel est competent (finance, energie, santé, infrastructure numérique) car les délais de réponse varient.Comment Luxgap automatise ce risqueNotre Luxgap CSIRT Liaison Hub transforme la relation avec le GOVCERT et les CSIRT sectoriels luxembourgeois en canal opérationnel permanent, plutot qu'en appel au secours en cas d'incident. L'outil maintient en continu votre surface d'attaque externe (DNS, certificats, ports exposes, fuites HIBP, mentions dark web) et prepare automatiquement le dossier technique a remettre au CSIRT le jour ou vous declenchez un scan proactif au titre du considérant 43.Scanne en permanence votre périmètre externe via integrations Shodan, Censys, crt.sh, HaveIBeenPwned et compare les résultats a votre CMDB declaree (Azure, AWS, GCP, Cloudflare, OVH).Genere un dossier de saisine CSIRT pret a transmettre, incluant la cartographie d'actifs, la base légale RGPD du scan, la liste des personnes habilitees a recevoir les résultats et la matrice de confidentialité.Detecte les ecarts entre actifs declares et actifs reellement exposes, et alerte instantanement via Teams ou Slack quand un nouveau sous-domaine ou service SaaS apparait sans avoir ete enregistré.Intégré les rapports CSIRT recus dans un plan de remédiation horodate, avec assignation automatique aux équipes IT et suivi des SLA de correction par criticite CVSS.Produit un rapport PDF cryptographiquement scelle, opposable a l'ILR en cas de contrôle, qui démontré que vous avez sollicite et intégré l'assistance CSIRT conformément a ...

Considérant 43 NIS 2 — Considérant 43

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 43

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(43)

En ce qui concerne les données à caractère personnel, les CSIRT devraient être en mesure de réaliser, conformément au règlement (UE) 2016/679, à la demande d’une entité essentielle ou importante, un scan proactif des réseaux et des systèmes d’information utilisés pour la fourniture des services de l’entité. Le cas échéant, les États membres devraient œuvrer à assurer l’égalité du niveau des capacités techniques de tous les CSIRT sectoriels. Les États membres devraient pouvoir solliciter l’assistance de l’ENISA pour la mise en place de leurs CSIRT.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, le scan proactif evoque par le considérant 43 est opère principalement par le GOVCERT.LU pour le secteur public et les operateurs d'importance vitale, et par des CSIRT sectoriels coordonnes par l'ILR sous l'empire de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). L'ILR désigné les entités essentielles et importantes et formalise les modalites de saisine du CSIRT competent.

Pratique Luxgap : nous preparons la convention de scan avec GOVCERT.LU ou le CSIRT sectoriel competent, incluant la base légale RGPD et la matrice de confidentialité, avant tout déclenchement.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 43 ouvre une porté mal connue : une entité essentielle ou importante peut demander au CSIRT (au Luxembourg, le GOVCERT ou un CSIRT sectoriel coordonne par l'ILR) un scan proactif de ses réseaux. En pratique, les organisations qui sollicitent ce scan sans avoir prepare leur cartographie d'actifs et leur base légale RGPD pour le traitement des logs se retrouvent soit a refuser le scan au dernier moment, soit a exposer des données personnelles sans encadrement. L'ILR sanctionné deja l'inverse : les entités qui n'ont pas de relation opérationnelle documentee avec un CSIRT alors qu'elles auraient pu en bénéficier.

Comment transformer ce considérant en avantage opérationnel

Le scan CSIRT est déclaratif et volontaire, mais il devient une preuve d'accountability article 21 NIS 2 si vous le tracez correctement.
Il faut un accord préalable RGPD entre l'entité et le CSIRT : finalité, durée de conservation des résultats, base légale (intérêt légitime ou obligation légale selon le cas).
La cartographie des actifs exposes (IP publiques, sous-domaines, certificats, services SaaS) doit être à jour avant de déclencher le scan, sinon le rapport CSIRT pointe des angles morts dont vous ignorez l'existence.
Les résultats du scan doivent être intégrés dans votre plan de remédiation avec dates de cloture, sinon l'ILR considéré que vous aviez connaissance du risque sans agir.
Si vous êtes une filiale d'un groupe étranger, verifiez quel CSIRT sectoriel est competent (finance, energie, santé, infrastructure numérique) car les délais de réponse varient.

Comment Luxgap automatise ce risque

Notre Luxgap CSIRT Liaison Hub transforme la relation avec le GOVCERT et les CSIRT sectoriels luxembourgeois en canal opérationnel permanent, plutot qu'en appel au secours en cas d'incident. L'outil maintient en continu votre surface d'attaque externe (DNS, certificats, ports exposes, fuites HIBP, mentions dark web) et prepare automatiquement le dossier technique a remettre au CSIRT le jour ou vous declenchez un scan proactif au titre du considérant 43.

Scanne en permanence votre périmètre externe via integrations Shodan, Censys, crt.sh, HaveIBeenPwned et compare les résultats a votre CMDB declaree (Azure, AWS, GCP, Cloudflare, OVH).
Genere un dossier de saisine CSIRT pret a transmettre, incluant la cartographie d'actifs, la base légale RGPD du scan, la liste des personnes habilitees a recevoir les résultats et la matrice de confidentialité.
Detecte les ecarts entre actifs declares et actifs reellement exposes, et alerte instantanement via Teams ou Slack quand un nouveau sous-domaine ou service SaaS apparait sans avoir ete enregistré.
Intégré les rapports CSIRT recus dans un plan de remédiation horodate, avec assignation automatique aux équipes IT et suivi des SLA de correction par criticite CVSS.
Produit un rapport PDF cryptographiquement scelle, opposable a l'ILR en cas de contrôle, qui démontré que vous avez sollicite et intégré l'assistance CSIRT conformément a l'esprit du considérant 43.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un scan gratuit de votre surface d'attaque externe sous 48h pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 43

Ils nous font confiance

Avant de discuter