Je dois mettre mon organisation luxembourgeoise en conformité au considérant 60 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 60 eclaire un angle mort majeur de NIS 2 : la gestion des vulnerabilites remontees par des chercheurs externes. En pratique, beaucoup d'entités essentielles et importantes n'ont aucun canal officiel de signalement (security.txt absent, pas d'adresse dediee, pas de politique publique). Résultat : un chercheur de bonne foi qui decouvre une faille sur votre infrastructure se retrouve a hesiter entre vous prévenir et risquer des poursuites, ou se taire et laisser la faille exploitable. L'ILR, qui s'aligne sur les recommandations ENISA en matière de Coordinated Vulnerability Disclosure (CVD), considéré l'absence de canal CVD comme un indicateur de maturite insuffisante au sens de l'article 21.Ce que ce considérant impose concretement a votre organisationPublier une politique CVD accessible publiquement (page /security/ ou /vulnerability-disclosure/) qui decrit le périmètre, les canaux de contact et les engagements de non-poursuite.Exposer un fichier security.txt conforme au RFC 9116 a la racine de chaque domaine exposé.Definir un SLA interne de triage des signalements (typiquement 72h pour accuse de reception, 90 jours pour correction ou divulgation coordonnee).Documenter le processus d'escalade vers l'ILR et le CSIRT national (GOVCERT.LU / CIRCL selon votre secteur) en cas de vulnerabilite critique.Coordonner avec votre assurance cyber et votre conseil juridique pour clarifier la position de non-poursuite, en l'absence de cadre légal explicite au Luxembourg.Comment Luxgap automatise ce risqueNotre Luxgap CVD Gateway transforme votre obligation CVD en infrastructure cle-en-main, opposable a l'ILR. L'outil deploie automatiquement le canal de signalement conforme RFC 9116 sur tous vos domaines, oriente chaque rapport vers le bon responsable interne, et produit la preuve horodatee que votre politique CVD existe, fonctionne et tient ses délais.Genere et publie automatiquement le fichier security.txt signe PGP sur chacun de vos domaines exposes, avec rotation annuelle des clés.Hébergé le portail public de signalement (formulaire chiffre PGP, intégration Signal/Matrix optionnelle) avec accuse de reception automatique sous 1 heure.Route les rapports entrants vers Jira, ServiceNow ou Microsoft Defender selon la criticite CVSS calculee automatiquement par un agent IA qui lit le rapport.Suit le SLA de triage et de correction en temps reel, alerte sur Teams ou Slack des qu'un délai approche du seuil critique.Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une inspection ILR, qui démontré le nombre de signalements recus, traites et corriges dans l'annee.Coordonne automatiquement la notification au CSIRT national (GOVCERT.LU ou CIRCL) lorsque la vulnerabilite remonte au seuil d'incident significatif article 23.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes deploient un scan gratuit sous 48h pour identifier v...

Considérant 60 NIS 2 — Considérant 60

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 60

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(60)

Les États membres, en coopération avec l’ENISA, devraient adopter des mesures destinées à faciliter la divulgation coordonnée des vulnérabilités en mettant en place une politique nationale pertinente. Dans le cadre de leur politique nationale, les États membres devraient s’efforcer de relever, dans la mesure du possible, les défis auxquels sont confrontés les experts qui recherchent les vulnérabilités, y compris le risque lié à la responsabilité pénale potentielle, conformément au droit national. Étant donné que les personnes morales et physiques qui recherchent les vulnérabilités pourraient, dans certains États membres, être exposées à la responsabilité pénale et civile, les États membres sont encouragés à adopter des lignes directrices concernant l’absence de poursuites contre les auteurs de recherches en matière de sécurité de l’information et une exemption de responsabilité civile pour leurs activités.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) ne prevoit pas de regime explicite de non-poursuite pour les chercheurs en sécurité, contrairement a la recommandation du considérant 60. Le CSIRT national competent est GOVCERT.LU pour le secteur public et les operateurs critiques, et CIRCL pour le secteur privé. L'ILR recommande, sans l'imposer formellement, l'adoption d'une politique CVD alignee sur le standard ENISA.

Pratique Luxgap : en l'absence de safe harbor légal explicite au Luxembourg, nous documentons contractuellement l'engagement de non-poursuite via une Safe Harbor Statement publique opposable, et nous interfacons votre canal CVD directement avec CIRCL via leur API MISP pour garantir la coordination CSIRT en moins de 4h.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 60 eclaire un angle mort majeur de NIS 2 : la gestion des vulnerabilites remontees par des chercheurs externes. En pratique, beaucoup d'entités essentielles et importantes n'ont aucun canal officiel de signalement (security.txt absent, pas d'adresse dediee, pas de politique publique). Résultat : un chercheur de bonne foi qui decouvre une faille sur votre infrastructure se retrouve a hesiter entre vous prévenir et risquer des poursuites, ou se taire et laisser la faille exploitable. L'ILR, qui s'aligne sur les recommandations ENISA en matière de Coordinated Vulnerability Disclosure (CVD), considéré l'absence de canal CVD comme un indicateur de maturite insuffisante au sens de l'article 21.

Ce que ce considérant impose concretement a votre organisation

Publier une politique CVD accessible publiquement (page /security/ ou /vulnerability-disclosure/) qui decrit le périmètre, les canaux de contact et les engagements de non-poursuite.
Exposer un fichier security.txt conforme au RFC 9116 a la racine de chaque domaine exposé.
Definir un SLA interne de triage des signalements (typiquement 72h pour accuse de reception, 90 jours pour correction ou divulgation coordonnee).
Documenter le processus d'escalade vers l'ILR et le CSIRT national (GOVCERT.LU / CIRCL selon votre secteur) en cas de vulnerabilite critique.
Coordonner avec votre assurance cyber et votre conseil juridique pour clarifier la position de non-poursuite, en l'absence de cadre légal explicite au Luxembourg.

Comment Luxgap automatise ce risque

Notre Luxgap CVD Gateway transforme votre obligation CVD en infrastructure cle-en-main, opposable a l'ILR. L'outil deploie automatiquement le canal de signalement conforme RFC 9116 sur tous vos domaines, oriente chaque rapport vers le bon responsable interne, et produit la preuve horodatee que votre politique CVD existe, fonctionne et tient ses délais.

Genere et publie automatiquement le fichier security.txt signe PGP sur chacun de vos domaines exposes, avec rotation annuelle des clés.
Hébergé le portail public de signalement (formulaire chiffre PGP, intégration Signal/Matrix optionnelle) avec accuse de reception automatique sous 1 heure.
Route les rapports entrants vers Jira, ServiceNow ou Microsoft Defender selon la criticite CVSS calculee automatiquement par un agent IA qui lit le rapport.
Suit le SLA de triage et de correction en temps reel, alerte sur Teams ou Slack des qu'un délai approche du seuil critique.
Produit un rapport PDF horodate cryptographiquement scelle, opposable lors d'une inspection ILR, qui démontré le nombre de signalements recus, traites et corriges dans l'annee.
Coordonne automatiquement la notification au CSIRT national (GOVCERT.LU ou CIRCL) lorsque la vulnerabilite remonte au seuil d'incident significatif article 23.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes deploient un scan gratuit sous 48h pour identifier vos domaines exposes sans canal CVD, avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 60

Ils nous font confiance

Avant de discuter