Je dois mettre mon organisation luxembourgeoise en conformité au considérant 5 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 5 NIS 2 — Considérant 5

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 5

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(5)

L’ensemble de ces divergences donnent lieu à une fragmentation du marché intérieur et peuvent produire un effet nuisible sur le fonctionnement de celui-ci, affectant plus particulièrement la fourniture transfrontière de services et le niveau de cyberrésilience en raison de l’application de mesures qui divergent les unes des autres. En fin de compte, ces divergences pourraient aggraver la vulnérabilité de certains États membres aux cybermenaces, ce qui peut avoir des retombées dans l’ensemble de l’Union. La présente directive a pour objectif de supprimer ces divergences importantes entre les États membres, notamment en définissant des règles minimales concernant le fonctionnement d’un cadre réglementaire coordonné, en établissant des mécanismes permettant une coopération efficace entre les autorités compétentes de chaque État membre, en mettant à jour la liste des secteurs et activités soumis à des obligations en matière de cybersécurité, et en prévoyant des recours et des mesures d’exécution effectifs qui sont essentiels à l’exécution effective de ces obligations. Il convient, par conséquent, d’abroger la directive (UE) 2016/1148 et de la remplacer par la présente directive.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) transpose la volonte d'harmonisation du considérant 5 en designant l'ILR comme autorité competente unique pour les entités essentielles et importantes, avec un guichet unique de notification d'incident. Toute filiale LU d'un groupe européen doit notifier a l'ILR et non a l'autorité de la maison-mere, même si le groupe applique un socle harmonise.

Pratique Luxgap : nous etablissons votre point de contact unique auprès de l'ILR et synchronisons vos procédures de notification groupe pour déclencher en parallele ILR, BSI, ANSSI et CCB lors d'un incident transfrontalier, sans rupture de délai 24h et 72h.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 5 explique pourquoi NIS 2 abroge NIS 1 : trop de divergences nationales avaient fragmente le marché, exposant les groupes transfrontaliers a des regimes incoherents. En pratique, l'ILR sanctionné deja les entités qui appliquent un socle minimum 'pays par pays' au lieu d'un cadre groupe harmonise. Le piège classique : une filiale luxembourgeoise d'un groupe européen pense bénéficier du regime de la maison-mere allemande ou française, alors que l'ILR exige une mise en œuvre conforme au droit luxembourgeois sur le périmètre LU, avec notifications a l'ILR et non au BSI ou a l'ANSSI.

Ce que ce considérant change concretement

Vos politiques de cybersécurité doivent être concues groupe, puis declinees par juridiction (LU, DE, FR, BE), avec une matrice de conformité par état membre.
Les notifications d'incident transfrontalier doivent être coordonnees : l'ILR au Luxembourg, le BSI en Allemagne, l'ANSSI en France, dans les mêmes 24h et 72h.
Le réseau CSIRT et le groupe de cooperation NIS supposent que vous identifiez votre point de contact unique par état membre ou vous êtes établi.
L'harmonisation des secteurs (annexes I et II) ferme les anciennes zones grises : un fournisseur de services manages (MSP) qui n'etait pas couvert par NIS 1 devient entité importante sous NIS 2.
Les mesures d'exécution effectives (article 32 et suivants) imposent une tracabilite des décisions de conformité opposable a chaque autorité nationale.

Comment Luxgap automatise ce risque

Notre Luxgap Multi-Jurisdiction Harmonizer transforme votre conformité NIS 2 en cartographie vivante par état membre, qui detecte automatiquement les divergences entre votre socle groupe et les exigences locales de chaque autorité (ILR au Luxembourg, BSI en Allemagne, ANSSI en France, CCB en Belgique). L'outil ingere vos politiques de sécurité, vos référentiels ISO 27001 et vos procédures de notification, puis les confronte aux transpositions nationales pour produire une matrice de conformité opposable.

Detecte automatiquement les ecarts entre votre socle groupe et chaque transposition nationale NIS 2 (loi LU du 28 juillet 2023, BSIG allemand, code de la défense français).
Cartographie vos entités par annexe I et II selon leur état d'établissement et identifié le point de contact unique requis par l'article 26.
Genere les workflows de notification multi-CSIRT prets a déclencher : ILR pour le Luxembourg, BSI pour l'Allemagne, ANSSI pour la France, dans les délais 24h et 72h synchronises.
Alerte en temps reel quand une autorité nationale publie une guidance nouvelle qui creuse un ecart avec votre socle groupe.
Produit un rapport PDF horodate par juridiction, opposable lors d'une inspection ILR ou d'une demande de cooperation entre autorités au titre du chapitre IV de la directive.
Intégré nativement vos sources groupe : Microsoft Sentinel, Azure Policy, ServiceNow GRC, Archer, et les référentiels Cyberframe ENISA.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux divergences nationales avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 5

Ils nous font confiance

Avant de discuter