Je dois mettre mon organisation luxembourgeoise en conformité au considérant 62 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 62 cree une attente concrete : les entités NIS 2 doivent surveiller activement les bases de vulnerabilites publiques (EUVD ENISA, NVD, CVE MITRE) et reagir avant que l'ILR ne constate qu'un CVE critique connu depuis 90 jours dormait sur un asset exposé. L'ILR sanctionné deja, lors d'inspections, l'absence de processus documente de veille CVE et de patching priorisé sur les actifs critiques. Le piège est double : ne pas consommer les flux EUVD/ENISA d'un cote, et de l'autre ne pas contribuer (signaler ses propres vulnerabilites decouvertes) par peur des represailles, alors que le considérant protégé explicitement le lanceur d'alerte.Ce que ce considérant change pour vos opérationsLa base EUVD de l'ENISA devient une source officielle a intégrer dans votre processus de gestion des vulnerabilites (art. 21 NIS 2).Le délai entre publication d'un CVE et application du correctif devient un indicateur de maturite que l'ILR peut auditer.La divulgation coordonnee (CVD) doit être encouragee en interne : un chercheur externe qui vous signale une faille ne doit pas être menacé de poursuites, sous peine de detruire la culture voulue par le legislateur.Vos fournisseurs TIC critiques doivent eux aussi être liés contractuellement a un engagement de divulgation rapide, sinon vous heritez de leur retard.Les flux machine-readable (CSAF, VEX, SBOM) deviennent le standard : si vous traitez encore les bulletins en PDF lus a la main, vous êtes deja en retard.Comment Luxgap automatise ce risqueNotre Luxgap Vulnerability Radar elimine la fenetre aveugle entre la publication d'un CVE par l'ENISA ou MITRE et la décision de patcher sur vos actifs reels. Le moteur ingere en continu les flux EUVD, NVD, CISA KEV, GitHub Security Advisories et CERT-EU, les croise avec votre inventaire d'actifs reel (Microsoft Defender, CrowdStrike, Wazuh, Tenable, Azure Resource Graph, AWS Config, Active Directory) et un SBOM genere automatiquement sur vos applicatifs Odoo, M365, SAP et conteneurs, pour ne remonter que les vulnerabilites qui vous concernent vraiment.Detecte en moins de 5 minutes après publication EUVD si un CVE nouvellement divulgue touche un de vos actifs cartographies, sans attendre le rapport mensuel du MSP.Calcule un score d'exposition reel combinant CVSS, EPSS, presence dans CISA KEV et criticite metier de l'actif, pour eliminer le bruit des 25 000 CVE annuels.Genere automatiquement les tickets de remédiation priorises dans Jira, ServiceNow ou Azure DevOps, avec deadline alignee sur votre SLA NIS 2 interne.Produit la fiche CVD prete a deposer dans la base EUVD de l'ENISA quand vos équipes ou un chercheur externe decouvrent une faille dans un produit que vous editez ou integrez.Suit la conformité patching de vos fournisseurs TIC critiques et alerte le RSSI quand un editeur depasse son SLA de correctif.Produit un rapport PDF horodate, opposable a l'ILR lors d'une inspection, qui démontré votre processus de veille et de remédiation continue.D...

Considérant 62 NIS 2 — Considérant 62

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 62

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(62)

L’accès en temps utile à des informations correctes relatives aux vulnérabilités touchant les produits TIC et services TIC contribue à une meilleure gestion des risques en matière de cybersécurité. Les sources d’informations publiquement accessibles concernant les vulnérabilités sont des outils importants pour les entités et les utilisateurs, mais également pour les autorités compétentes et les CSIRT. C’est pour cette raison que l’ENISA devrait mettre en place une base de données européenne des vulnérabilités dans laquelle les entités, indépendamment du fait qu’elles relèvent ou non du champ d’application de la présente directive, et leurs fournisseurs de réseaux et de systèmes d’information, ainsi que les autorités compétentes et les CSIRT, peuvent, à titre volontaire, divulguer et enregistrer les vulnérabilités publiquement connues afin de permettre aux utilisateurs de prendre les mesures d’atténuation appropriées. L’objectif de cette base de données est de relever les défis uniques que posent les risques aux entités de l’Union. En outre, l’ENISA devrait établir une procédure adéquate en ce qui concerne le processus de publication, afin de donner aux entités le temps de prendre des mesures d’atténuation à l’égard de leurs vulnérabilités, et recourir aux mesures de gestion des risques en matière de cybersécurité les plus récentes, ainsi qu’aux ensembles de données lisibles par machine et aux interfaces correspondantes. Afin d’encourager une culture de divulgation des vulnérabilités, une divulgation ne devrait pas se faire au détriment de la personne physique ou morale qui effectue le signalement.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité nationale competente pour NIS 2 et travaille en coordination directe avec le CERT GOVCERT.LU et le CIRCL (Computer Incident Response Center Luxembourg), qui est l'un des CSIRT les plus actifs d'Europe en matière de divulgation coordonnee et alimente activement la base EUVD de l'ENISA. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, ancre ce mécanisme volontaire de divulgation et désigné le CIRCL comme point de contact privilégié pour les signalements coordonnes des entités essentielles et importantes établies au Grand-Duche.

Pratique Luxgap : connectez votre processus CVD au CIRCL via leur plateforme MISP, et conservez la preuve horodatee du signalement pour la presenter a l'ILR en cas d'inspection comme demonstration concrete de votre maturite cyber.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 62 cree une attente concrete : les entités NIS 2 doivent surveiller activement les bases de vulnerabilites publiques (EUVD ENISA, NVD, CVE MITRE) et reagir avant que l'ILR ne constate qu'un CVE critique connu depuis 90 jours dormait sur un asset exposé. L'ILR sanctionné deja, lors d'inspections, l'absence de processus documente de veille CVE et de patching priorisé sur les actifs critiques. Le piège est double : ne pas consommer les flux EUVD/ENISA d'un cote, et de l'autre ne pas contribuer (signaler ses propres vulnerabilites decouvertes) par peur des represailles, alors que le considérant protégé explicitement le lanceur d'alerte.

Ce que ce considérant change pour vos opérations

La base EUVD de l'ENISA devient une source officielle a intégrer dans votre processus de gestion des vulnerabilites (art. 21 NIS 2).
Le délai entre publication d'un CVE et application du correctif devient un indicateur de maturite que l'ILR peut auditer.
La divulgation coordonnee (CVD) doit être encouragee en interne : un chercheur externe qui vous signale une faille ne doit pas être menacé de poursuites, sous peine de detruire la culture voulue par le legislateur.
Vos fournisseurs TIC critiques doivent eux aussi être liés contractuellement a un engagement de divulgation rapide, sinon vous heritez de leur retard.
Les flux machine-readable (CSAF, VEX, SBOM) deviennent le standard : si vous traitez encore les bulletins en PDF lus a la main, vous êtes deja en retard.

Comment Luxgap automatise ce risque

Notre Luxgap Vulnerability Radar elimine la fenetre aveugle entre la publication d'un CVE par l'ENISA ou MITRE et la décision de patcher sur vos actifs reels. Le moteur ingere en continu les flux EUVD, NVD, CISA KEV, GitHub Security Advisories et CERT-EU, les croise avec votre inventaire d'actifs reel (Microsoft Defender, CrowdStrike, Wazuh, Tenable, Azure Resource Graph, AWS Config, Active Directory) et un SBOM genere automatiquement sur vos applicatifs Odoo, M365, SAP et conteneurs, pour ne remonter que les vulnerabilites qui vous concernent vraiment.

Detecte en moins de 5 minutes après publication EUVD si un CVE nouvellement divulgue touche un de vos actifs cartographies, sans attendre le rapport mensuel du MSP.
Calcule un score d'exposition reel combinant CVSS, EPSS, presence dans CISA KEV et criticite metier de l'actif, pour eliminer le bruit des 25 000 CVE annuels.
Genere automatiquement les tickets de remédiation priorises dans Jira, ServiceNow ou Azure DevOps, avec deadline alignee sur votre SLA NIS 2 interne.
Produit la fiche CVD prete a deposer dans la base EUVD de l'ENISA quand vos équipes ou un chercheur externe decouvrent une faille dans un produit que vous editez ou integrez.
Suit la conformité patching de vos fournisseurs TIC critiques et alerte le RSSI quand un editeur depasse son SLA de correctif.
Produit un rapport PDF horodate, opposable a l'ILR lors d'une inspection, qui démontré votre processus de veille et de remédiation continue.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes realisent un scan gratuit de votre périmètre sous 48h pour mesurer combien de CVE critiques dorment aujourd'hui sur vos actifs exposes.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 62

Ils nous font confiance

Avant de discuter