Je dois mettre mon organisation luxembourgeoise en conformité au considérant 6 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 6 NIS 2 — Considérant 6

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 6

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(6)

Avec l’abrogation de la directive (UE) 2016/1148, le champ d’application par secteur devrait être étendu à une plus grande partie de l’économie pour assurer une couverture complète des secteurs et des services revêtant une importance cruciale pour les activités économiques et sociétales essentielles dans le marché intérieur. La présente directive a pour objectif, en particulier, de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiée par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiée par la loi du 28 juillet 2025, transpose le champ d'application élargi voulu par le considérant 6. C'est l'ILR qui désigné les operateurs essentiels et importants, recoit les auto-déclarations et exerce le pouvoir de sanction administrative (jusqu'à 10 M'EUR ou 2% du CA mondial pour les entités essentielles).

Pratique Luxgap : ne pas attendre une sollicitation de l'ILR. Réaliser l'auto-qualification de chaque entité du groupe luxembourgeois dans les 90 jours suivant tout événement structurant (acquisition, franchissement de seuil, nouvelle activité) et conserver la trace horodatée de l'analyse.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'organisations luxembourgeoises pensent encore raisonner en logique NIS 1 : 'je suis fournisseur de services numériques, donc regime allege' ou 'je ne suis pas opérateur de services essentiels, donc rien ne s'applique'. Cette grille de lecture est morte. L'ILR raisonne desormais par secteur d'annexe et par taille d'entité, plus par etiquette historique. Le piège : decouvrir lors d'un contrôle ILR que votre entité, qui ne s'etait jamais déclarée, relevait en réalité de l'annexe II depuis l'entrée en vigueur de la loi du 28 juillet 2023.

Pourquoi ce considérant 6 change votre périmètre

Le législateur européen acte que la distinction OSE/FSN était devenue artificielle. La conséquence opérationnelle est triple :

Le périmètre couvre desormais des secteurs entiers : gestion des déchets, agroalimentaire, fabrication de dispositifs médicaux, services postaux, recherché, administration publique, fournisseurs de services managés (MSP/MSSP).
La qualification entité essentielle vs entité importante depend principalement de la taille (seuils 250 employés / 50 M'EUR CA pour essentielle, 50 employés / 10 M'EUR pour importante) croisée avec le secteur d'annexe I ou II.
L'auto-qualification est obligatoire : ce n'est pas l'ILR qui vient vous chercher, c'est a vous de vous déclarer dans les délais prévus par la loi du 28 juillet 2023.

Le test pratique a mener immediatement : passer en revue chaque entité juridique du groupe, croiser son code NACE avec les annexes I et II de NIS 2, puis appliquer les seuils de taille. Une holding luxembourgeoise qui detient une activité de fabrication de produits chimiques en Belgique peut elle-meme tomber dans le périmètre via la règle de groupe.

Comment Luxgap automatise ce risque

Notre Luxgap NIS2 Scope Radar elimine définitivement la zone grise de l'auto-qualification en croisant automatiquement vos données légales, RH et financieres avec les annexes I et II de la directive. L'outil interroge le Registre de Commerce et des Sociétés luxembourgeois, votre ERP (Odoo, SAP, Sage BOB 50) et votre SIRH (Workday, Sopra HR) pour reconstituer le périmètre reel du groupe et determiner, entité par entité, si elle est essentielle, importante ou hors champ.

Detecte chaque entité du groupe via une connexion API au RCS et a vos systèmes comptables, sans ressaisie manuelle.
Classifie chaque entité selon les annexes I et II en s'appuyant sur les codes NACE déclarés et les flux d'activité reels observes dans l'ERP.
Calcule automatiquement les seuils de taille (effectifs, chiffre d'affaires, bilan) en agregeant les données consolidées, et applique la règle de groupe NIS 2.
Alerte en temps reel via Teams ou Slack lorsqu'une acquisition, une croissance d'effectifs ou un nouveau code d'activité fait basculer une entité dans le périmètre.
Genere le dossier de notification a l'ILR pre-rempli, conforme aux exigences de la loi du 28 juillet 2023, avec annexes justificatives horodatées.
Produit un rapport PDF cryptographiquement scellé, opposable lors d'un contrôle ILR, qui démontré la diligence d'auto-qualification.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent un audit blanc gratuit sous 48h sur le périmètre reel de votre groupe pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 6

Ils nous font confiance

Avant de discuter