Je dois mettre mon organisation luxembourgeoise en conformité au considérant 44 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 44 NIS 2 — Considérant 44

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 44

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(44)

Les CSIRT devraient avoir la faculté, à la demande d’une entité essentielle ou importante, de surveiller les ressources de l’entité en question connectées à l’internet, à la fois sur site et hors site, afin de repérer, comprendre et gérer les risques organisationnels globaux encourus par cette entité face aux compromissions nouvellement découvertes dans les chaînes d’approvisionnement ou vulnérabilités critiques. L’entité devrait être encouragée à indiquer au CSIRT si elle gère une interface de gestion privilégiée, car cela pourrait avoir un impact sur la rapidité de mise en œuvre de mesures d’atténuation.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, deux CSIRT coexistent : GOVCERT.LU pour les entités du secteur public et les operateurs d'infrastructures critiques étatiques, et CIRCL (Computer Incident Response Center Luxembourg, opère par SECURITYMADEIN.LU) pour le secteur privé, les PME et les communes. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, désigné l'ILR comme autorité competente pour superviser les entités essentielles et importantes, mais le relais opérationnel pour la surveillance des actifs exposes passe par le CSIRT sectoriellement competent. L'entité doit donc identifier en amont son CSIRT de référence et formaliser le canal de demande de monitoring prévu au considérant 44.

Pratique Luxgap : nous etablissons pour chaque mandat la convention de relais avec CIRCL ou GOVCERT et integrons leurs flux MISP directement dans le tableau de bord External Surface Sentinel, pour que vos alertes CVE soient enrichies du contexte sectoriel luxembourgeois.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 44 ouvre une porté que peu d'entités essentielles ou importantes osent franchir : demander au CSIRT national (au Luxembourg, le GOVCERT ou CIRCL selon votre nature) un monitoring de votre surface d'attaque exposee. Le piège n'est pas de refuser cette aide, c'est de l'ignorer puis de devoir expliquer a l'ILR, après un incident lié a une vulnerabilite critique connue depuis 3 semaines, pourquoi vous n'avez ni scan continu interne ni relais CSIRT. L'ILR sanctionné le defaut de mesures de gestion des risques au sens de l'article 21, et la connaissance de votre exposition externe en fait partie integrante.

Ce que ce considérant impose en pratique

Connaître en continu vos ressources connectees a internet : IP publiques, sous-domaines oublies, buckets S3, VPN, interfaces RDP/SSH, API exposees, panneaux d'administration Citrix/Fortinet/Exchange.
Distinguer explicitement les interfaces de gestion privilégiée (admin panels, consoles cloud, jumphost) car leur compromission est traitée en priorité par les CSIRT.
établir un canal de communication formel avec votre CSIRT de référence avant l'incident, pas pendant.
Tracer chaque alerte CSIRT recue, son traitement et le délai de remédiation, pour démontrer la diligence article 21 lors d'une inspection ILR.

Comment Luxgap automatise ce risque

Notre Luxgap External Surface Sentinel reconstitue en 48h l'intégralité de votre surface d'attaque exposee, exactement comme un CSIRT le ferait, et la maintient sous surveillance continue avec un canal de relais direct vers GOVCERT ou CIRCL. L'outil croise les sources OSINT (Shodan, Censys, crt.sh, RIPE, DNS passifs), vos comptes cloud Azure / AWS / GCP et vos référentiels DNS pour materialiser ce que voit reellement un attaquant, sans jamais demander a votre RSSI de remplir un inventaire manuel.

Decouvre automatiquement chaque IP, sous-domaine, certificat TLS et port ouvert rattache a votre organisation, y compris les actifs orphelins oublies par les équipes IT.
Identifié et marque distinctement les interfaces de gestion privilégiée (RDP, SSH, panneaux d'admin Fortinet/Citrix/Exchange/VMware) pour traitement prioritaire.
Croise en temps reel votre exposition avec les bulletins CIRCL, GOVCERT, ENISA et CISA KEV pour alerter sous 15 minutes des qu'une CVE critique touche un de vos actifs visibles.
Detecte les compromissions de chaîne d'approvisionnement (fournisseurs cloud, CDN, SaaS) qui impactent vos sous-domaines ou vos certificats partagés.
Produit un rapport PDF horodate, transmissible directement a l'ILR en cas d'inspection, qui démontré votre conformité a l'article 21 sur la gestion continue des risques d'exposition.
Genere automatiquement la demande de monitoring CSIRT au format attendu, prete a être adressee a GOVCERT ou CIRCL.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent un audit blanc gratuit sous 48h pour cartographier votre exposition reelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 44

Ils nous font confiance

Avant de discuter