Je dois mettre mon organisation luxembourgeoise en conformité au considérant 53 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 53 NIS 2 — Considérant 53

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 53

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(53)

Les équipements sont de plus en plus connectés aux réseaux numériques dans les villes, dans le but d’améliorer les réseaux de transport urbain, d’améliorer l’approvisionnement en eau et les installations d’élimination des déchets et d’accroître l’efficacité de l’éclairage et du chauffage des bâtiments. Ces équipements numérisés sont vulnérables aux cyberattaques et risquent, en cas de succès d’une cyberattaque, de nuire à un grand nombre de citoyens en raison de leur interconnexion. Les États membres devraient élaborer une politique qui tienne compte du développement de ces villes connectées ou intelligentes et de leurs effets potentiels sur la société, dans le cadre de leur stratégie nationale en matière de cybersécurité.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) désigné l'ILR comme autorité competente pour qualifier les communes, syndicats intercommunaux (SIDOR, SIDEC, SIVEC) et utilities urbaines en entités essentielles ou importantes au titre des annexes I et II. La stratégie nationale de cybersécurité luxembourgeoise intégré explicitement la dimension smart city, en lien avec les initiatives LuxConnect, POST et les projets de territoires intelligents portes par le Ministere de l'Interieur.

Pratique Luxgap : nous cartographions le périmètre NIS 2 reel de votre commune ou syndicat en croisant vos plages IP, vos contrats d'intégration smart city et la doctrine ILR, pour eviter une requalification surprise lors d'une premiere inspection.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 53 visé les villes intelligentes et les utilities urbaines connectees (transport, eau, dechets, eclairage, chauffage). Beaucoup de communes luxembourgeoises et de syndicats intercommunaux deploient des capteurs IoT, des compteurs intelligents et des plateformes de supervision sans réaliser que ces équipements relevent du périmètre NIS 2 via les annexes I (energie, eau potable, eaux usees, transport) et II (gestion des dechets). L'ILR sanctionné en pratique l'absence de cartographie de ces équipements, l'usage de mots de passe par defaut sur les passerelles IoT et l'absence de segmentation entre le SI administratif de la commune et le SI opérationnel des utilities.

Les angles morts typiques d'une ville connectee

Capteurs LoRaWAN ou NB-IoT installes par un prestataire externe, sans inventaire centralise ni gestion de cycle de vie.
Plateformes SCADA d'eclairage public ou de chauffage urbain exposees sur Internet via des VPN historiques mal segmentes.
Bornes de recharge electrique connectees au réseau communal sans isolation réseau ni authentification forte.
Compteurs d'eau intelligents communiquant avec un concentrateur dont le firmware n'a pas ete mis à jour depuis 3 ans.
Contrats avec des integrateurs smart city sans clause de notification d'incident remontant vers l'entité essentielle ou importante.
Absence de prise en compte de ces équipements dans le PCA et dans les exercices de cyber-crise.

Comment Luxgap automatise ce risque

Notre Luxgap Smart City Exposure Map rend visible en 48h la surface d'attaque reelle de votre territoire connecte, sans deployer le moindre agent sur vos équipements OT. L'outil croise les annonces BGP de vos plages IP publiques, les scans passifs Shodan et Censys, vos exports Active Directory et l'inventaire de votre GMAO (Carl Source, IBM Maximo, Sage) pour materialiser chaque passerelle IoT, chaque SCADA et chaque concentrateur exposé, en les rattachant au service urbain correspondant.

Detecte chaque équipement IoT et OT joignable depuis Internet sur vos plages IP communales et intercommunales, en identifiant le constructeur, le firmware et les CVE actives.
Classifie chaque actif selon les annexes I et II de NIS 2 (eau, dechets, transport, energie) pour qualifier le périmètre regulatoire ILR.
Alerte en temps reel via Teams ou email des qu'un nouveau capteur LoRaWAN, une borne de recharge ou un automate Siemens S7 apparait exposé, avec recommandation de remédiation.
Genere un plan de segmentation réseau OT/IT pret a transmettre a votre integrateur, aligne sur IEC 62443 et les guides ENISA pour smart cities.
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une inspection ILR, qui démontré la prise en compte du considérant 53 dans votre stratégie de cybersécurité.
Predit les équipements a risque de compromission dans les 6 mois en croisant CVE, fin de support constructeur et historique HIBP des comptes administrateurs.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre territorial. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos plages IP reelles, avec un scan gratuit sous 48h pour materialiser votre exposition smart city avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 53

Ils nous font confiance

Avant de discuter