Je dois mettre mon organisation luxembourgeoise en conformité au considérant 61 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 61 organise la divulgation coordonnee de vulnerabilites (CVD) en confiant a un CSIRT national un rôle de chef d'orchestre entre chercheurs en sécurité et editeurs concernes. Le piège pour les entités essentielles et importantes : recevoir un signalement d'un chercheur ethique (bug bounty, mail sécurité@) et ne pas savoir quoi en faire, le laisser pourrir dans une boite générique, ou pire le traiter comme une menacé. L'ILR, qui coordonne avec le GOVCERT.LU et CIRCL au Luxembourg, attend des entités une capacite a recevoir, qualifier et remonter les vulnerabilites decouvertes sur leurs produits ou services TIC. Sans processus CVD documente, l'entité se retrouve hors-jeu quand un chercheur publie sa decouverte en zero-day après 90 jours de silence.Ce que le CSIRT coordinateur attend concretement de vousUne politique de divulgation responsable publiee (page /security ou /.well-known/security.txt conforme RFC 9116).Un canal de reception securise (PGP, formulaire HTTPS) avec accuse de reception sous 72h maximum.Une procédure interne de triage : qui qualifié la criticite (CVSS), qui valide le correctif, qui coordonne avec le CSIRT national.Une matrice d'escalade vers l'ILR et le GOVCERT.LU quand la vulnerabilite touche plusieurs entités ou plusieurs états membres.Un registre horodate de chaque signalement recu, avec statut (recu, valide, en cours de correction, divulgue).Un délai de divulgation negocie avec le rapporteur (standard de fait : 90 jours, prolongeable si correctif complexe).Comment Luxgap automatise ce risqueNotre Luxgap CVD Orchestrator transforme votre boite sécurité@ en cellule CVD opposable, alignee sur ISO/IEC 29147 et 30111, prete a dialoguer avec le CSIRT coordinateur désigné par l'ILR. L'outil deploie en 24h votre canal de reception conforme (security.txt RFC 9116, formulaire chiffre PGP, accuse automatique multilingue) et orchestre tout le cycle de vie du signalement jusqu'à la divulgation coordonnee, en se branchant sur Jira, GitHub Security Advisories, Microsoft Defender Vulnerability Management et votre annuaire fournisseurs.Genere et publie automatiquement votre fichier /.well-known/security.txt signe PGP, mis à jour des qu'un contact change.Recoit et qualifié chaque signalement entrant via un agent IA qui calcule un score CVSS provisoire et identifié les composants tiers affectes en croisant votre SBOM.Déclenche les notifications coordonnees vers GOVCERT.LU, CIRCL et l'ILR via API quand la vulnerabilite touche plusieurs entités essentielles ou importantes.Suit le compteur des délais negocies (90 jours par defaut) et alerte avant expiration pour eviter une divulgation sauvage par le chercheur.Genere les advisories publics (format CSAF 2.0) et les diffuse simultanement a vos clients, au CSIRT national et au réseau CSIRT européen.Produit un rapport PDF horodate cryptographiquement scelle, opposable a l'ILR lors d'une inspection NIS 2, qui démontré la conformité a l'article 12 et au considérant 6...

Considérant 61 NIS 2 — Considérant 61

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 61

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(61)

Les États membres devraient désigner un de leurs CSIRT en tant que coordinateur et agir comme un intermédiaire de confiance entre les personnes physiques ou morales effectuant le signalement et les fabricants de produits TIC ou les fournisseurs de services TIC susceptibles d’être touchés par la vulnérabilité, lorsque cela est nécessaire. Les tâches du CSIRT désigné comme coordinateur devraient impliquer d’identifier et de contacter les entités concernées, d’apporter une assistance aux personnes physiques ou morales signalant une vulnérabilité, de négocier des délais de divulgation et de gérer les vulnérabilités qui touchent plusieurs entités (divulgation multipartite coordonnée de vulnérabilité). Lorsque les vulnérabilités signalées pourraient avoir un impact important sur des entités de plusieurs États membres, les CSIRT désignés comme coordinateurs devraient, s’il y a lieu, coopérer au sein du réseau des CSIRT.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, le CSIRT coordinateur désigné au sens du considérant 61 est le GOVCERT.LU pour le secteur public et les operateurs critiques, en lien etroit avec CIRCL (Computer Incident Response Center Luxembourg) qui agit historiquement comme coordinateur CVD pour le secteur privé. L'ILR, autorité competente NIS 2, supervise le dispositif. La loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confirme cette architecture duale et impose aux entités essentielles et importantes de cooperer avec le CSIRT coordinateur lors d'un signalement de vulnerabilite.

Pratique Luxgap : declarez explicitement dans votre security.txt les adresses de contact de GOVCERT.LU et CIRCL comme canaux d'escalade, et testez deux fois par an votre procédure de notification croisee avec ces deux entités pour eviter toute zone grise lors d'un incident multi-entites.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 61 organise la divulgation coordonnee de vulnerabilites (CVD) en confiant a un CSIRT national un rôle de chef d'orchestre entre chercheurs en sécurité et editeurs concernes. Le piège pour les entités essentielles et importantes : recevoir un signalement d'un chercheur ethique (bug bounty, mail sécurité@) et ne pas savoir quoi en faire, le laisser pourrir dans une boite générique, ou pire le traiter comme une menacé. L'ILR, qui coordonne avec le GOVCERT.LU et CIRCL au Luxembourg, attend des entités une capacite a recevoir, qualifier et remonter les vulnerabilites decouvertes sur leurs produits ou services TIC. Sans processus CVD documente, l'entité se retrouve hors-jeu quand un chercheur publie sa decouverte en zero-day après 90 jours de silence.

Ce que le CSIRT coordinateur attend concretement de vous

Une politique de divulgation responsable publiee (page /security ou /.well-known/security.txt conforme RFC 9116).
Un canal de reception securise (PGP, formulaire HTTPS) avec accuse de reception sous 72h maximum.
Une procédure interne de triage : qui qualifié la criticite (CVSS), qui valide le correctif, qui coordonne avec le CSIRT national.
Une matrice d'escalade vers l'ILR et le GOVCERT.LU quand la vulnerabilite touche plusieurs entités ou plusieurs états membres.
Un registre horodate de chaque signalement recu, avec statut (recu, valide, en cours de correction, divulgue).
Un délai de divulgation negocie avec le rapporteur (standard de fait : 90 jours, prolongeable si correctif complexe).

Comment Luxgap automatise ce risque

Notre Luxgap CVD Orchestrator transforme votre boite sécurité@ en cellule CVD opposable, alignee sur ISO/IEC 29147 et 30111, prete a dialoguer avec le CSIRT coordinateur désigné par l'ILR. L'outil deploie en 24h votre canal de reception conforme (security.txt RFC 9116, formulaire chiffre PGP, accuse automatique multilingue) et orchestre tout le cycle de vie du signalement jusqu'à la divulgation coordonnee, en se branchant sur Jira, GitHub Security Advisories, Microsoft Defender Vulnerability Management et votre annuaire fournisseurs.

Genere et publie automatiquement votre fichier /.well-known/security.txt signe PGP, mis à jour des qu'un contact change.
Recoit et qualifié chaque signalement entrant via un agent IA qui calcule un score CVSS provisoire et identifié les composants tiers affectes en croisant votre SBOM.
Déclenche les notifications coordonnees vers GOVCERT.LU, CIRCL et l'ILR via API quand la vulnerabilite touche plusieurs entités essentielles ou importantes.
Suit le compteur des délais negocies (90 jours par defaut) et alerte avant expiration pour eviter une divulgation sauvage par le chercheur.
Genere les advisories publics (format CSAF 2.0) et les diffuse simultanement a vos clients, au CSIRT national et au réseau CSIRT européen.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a l'ILR lors d'une inspection NIS 2, qui démontré la conformité a l'article 12 et au considérant 61.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes deploient un canal CVD pilote sur votre domaine reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition actuelle aux signalements non geres.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 61

Ils nous font confiance

Avant de discuter