Je dois mettre mon organisation luxembourgeoise en conformité au considérant 45 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant 45 autorise les CSIRT a echanger des informations, y compris des données a caractère personnel, avec leurs homologues hors UE, mais sous condition stricte de respect du droit européen sur les transferts internationaux. Le piège : un CSIRT privé ou une entité essentielle qui partagé des indicateurs de compromission (IOC) contenant des adresses IP, emails ou identifiants utilisateurs avec un partenaire américain, israelien ou suisse sans encadrement juridique déclenche simultanement une non-conformite RGPD (art. 44 a 49) et un manquement NIS 2. La CNPD et l'ILR peuvent cumuler les contrôles, et l'arret Schrems II (CJUE 2020) impose une analyse d'impact (TIA) même pour un partagé technique limite.Les conditions a vérifier avant tout échange transfrontalier d'IOCIdentifier la base juridique de transfert : décision d'adéquation (DPF pour les US certifies, Royaume-Uni, Suisse, Japon, etc.) ou clauses contractuelles types ou derogation article 49 RGPD (intérêt public important, motif vital).Documenter la finalité cybersécurité et la proportionnalite des données partagées : un IOC peut souvent être pseudonymise (hash, fingerprint) sans perdre sa valeur opérationnelle.Réaliser une TIA si le pays tiers n'est pas adequat, en evaluant les lois de surveillance locales (FISA 702 pour les US, par exemple).Conserver une trace horodatee de chaque échange : destinataire, base juridique invoquee, catégorie de données, finalité.Vérifier que le partenaire tiers offre des garanties techniques equivalentes (chiffrement, contrôle d'accès, rétention limitee).Comment Luxgap automatise ce risqueNotre Luxgap Cross-Border Threat Exchange Gate transforme chaque partagé d'IOC vers un CSIRT étranger en transaction conforme et opposable, sans ralentir vos analystes SOC. L'outil s'intercale entre votre plateforme de threat intelligence (MISP, OpenCTI, Sentinel, Defender XDR, CrowdStrike Falcon) et le destinataire tiers, applique automatiquement les règles RGPD article 44 a 49 et genere la trace de conformité avant que la donnée ne quitte l'UE.Detecte en temps reel toute donnée a caractère personnel dans un flux d'IOC sortant (adresses IP residentielles, emails, noms d'utilisateurs, identifiants Active Directory) via un moteur d'analyse semantique.Classifie chaque pays destinataire selon son statut d'adéquation actualise quotidiennement auprès de la Commission européenne et alerte si un changement intervient (cas Schrems II reedition).Applique automatiquement la pseudonymisation ou le hashing des données personnelles non indispensables a la valeur defensive de l'IOC, conformément au principe de minimisation.Genere une TIA prerempli pour chaque destinataire non adequat, en s'appuyant sur les guides ENISA et EDPB Recommandations 01/2020.Produit un journal d'échanges cryptographiquement scelle, opposable simultanement a la CNPD et a l'ILR en cas de contrôle croise NIS 2 / RGPD.Bloque par defaut tout transfert non documente vers une juridiction a ri...

Considérant 45 NIS 2 — Considérant 45

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 45

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(45)

Compte tenu de l’importance de la coopération internationale en matière de cybersécurité, les CSIRT devraient pouvoir participer à des réseaux de coopération internationaux en plus du réseau des CSIRT institué par la présente directive. Par conséquent, aux fins de l’accomplissement de leurs tâches, les CSIRT et les autorités compétentes devraient pouvoir échanger des informations, y compris des données à caractère personnel, avec les centres de réponses aux incidents de sécurité informatique nationaux ou les autorités compétentes de pays tiers, pour autant que les conditions prévues par le droit de l’Union en matière de protection des données pour les transferts de données à caractère personnel vers des pays tiers, entre autres celles de l’article 49 du règlement (UE) 2016/679, soient remplies.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, le GOVCERT.LU (CSIRT gouvernemental) et le CIRCL (CSIRT privé, operateur de la plateforme MISP de référence mondiale) sont les CSIRT officiellement désignés au sens de la loi du 28 juillet 2023 relative a la cybersécurité. Le CIRCL operant MISP, hub majeur d'échange international d'IOC, doit en pratique appliquer les conditions article 49 RGPD pour chaque flux sortant vers un partenaire hors UE, sous contrôle conjoint de la CNPD et de l'ILR.

Pratique Luxgap : si vous êtes une entité essentielle ou importante luxembourgeoise connectee a MISP CIRCL, documentez votre propre base juridique de partagé (vous restez responsable du traitement de vos IOC), et exigez une attestation de conformité article 28 RGPD avec le CIRCL lui-meme.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant 45 autorise les CSIRT a echanger des informations, y compris des données a caractère personnel, avec leurs homologues hors UE, mais sous condition stricte de respect du droit européen sur les transferts internationaux. Le piège : un CSIRT privé ou une entité essentielle qui partagé des indicateurs de compromission (IOC) contenant des adresses IP, emails ou identifiants utilisateurs avec un partenaire américain, israelien ou suisse sans encadrement juridique déclenche simultanement une non-conformite RGPD (art. 44 a 49) et un manquement NIS 2. La CNPD et l'ILR peuvent cumuler les contrôles, et l'arret Schrems II (CJUE 2020) impose une analyse d'impact (TIA) même pour un partagé technique limite.

Les conditions a vérifier avant tout échange transfrontalier d'IOC

Identifier la base juridique de transfert : décision d'adéquation (DPF pour les US certifies, Royaume-Uni, Suisse, Japon, etc.) ou clauses contractuelles types ou derogation article 49 RGPD (intérêt public important, motif vital).
Documenter la finalité cybersécurité et la proportionnalite des données partagées : un IOC peut souvent être pseudonymise (hash, fingerprint) sans perdre sa valeur opérationnelle.
Réaliser une TIA si le pays tiers n'est pas adequat, en evaluant les lois de surveillance locales (FISA 702 pour les US, par exemple).
Conserver une trace horodatee de chaque échange : destinataire, base juridique invoquee, catégorie de données, finalité.
Vérifier que le partenaire tiers offre des garanties techniques equivalentes (chiffrement, contrôle d'accès, rétention limitee).

Comment Luxgap automatise ce risque

Notre Luxgap Cross-Border Threat Exchange Gate transforme chaque partagé d'IOC vers un CSIRT étranger en transaction conforme et opposable, sans ralentir vos analystes SOC. L'outil s'intercale entre votre plateforme de threat intelligence (MISP, OpenCTI, Sentinel, Defender XDR, CrowdStrike Falcon) et le destinataire tiers, applique automatiquement les règles RGPD article 44 a 49 et genere la trace de conformité avant que la donnée ne quitte l'UE.

Detecte en temps reel toute donnée a caractère personnel dans un flux d'IOC sortant (adresses IP residentielles, emails, noms d'utilisateurs, identifiants Active Directory) via un moteur d'analyse semantique.
Classifie chaque pays destinataire selon son statut d'adéquation actualise quotidiennement auprès de la Commission européenne et alerte si un changement intervient (cas Schrems II reedition).
Applique automatiquement la pseudonymisation ou le hashing des données personnelles non indispensables a la valeur defensive de l'IOC, conformément au principe de minimisation.
Genere une TIA prerempli pour chaque destinataire non adequat, en s'appuyant sur les guides ENISA et EDPB Recommandations 01/2020.
Produit un journal d'échanges cryptographiquement scelle, opposable simultanement a la CNPD et a l'ILR en cas de contrôle croise NIS 2 / RGPD.
Bloque par defaut tout transfert non documente vers une juridiction a risque (Russie, Chine, Iran) et exige une validation manuelle DPO + CISO.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux de threat intelligence reels, avec un audit blanc gratuit sous 48h pour cartographier vos échanges transfrontaliers existants avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 45

Ils nous font confiance

Avant de discuter