Je dois mettre mon organisation luxembourgeoise en conformité au considérant 63 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 63 NIS 2 — Considérant 63

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 63

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(63)

Bien que des registres ou des bases de données similaires sur les vulnérabilités existent, ils sont hébergés et gérés par des entités qui ne sont pas établies dans l’Union. Une base de données européenne des vulnérabilités gérée par l’ENISA améliorerait la transparence du processus de publication avant la divulgation officielle d’une vulnérabilité et la résilience en cas de perturbation ou d’interruption de la fourniture de services similaires. Afin d’éviter la duplication des efforts déployés et de viser la complémentarité dans la mesure du possible, l’ENISA devrait étudier la possibilité de conclure des accords de coopération structurée avec les bases de données ou registres similaires qui relèvent de la compétence de pays tiers. L’ENISA devrait en particulier étudier la possibilité d’une coopération étroite avec les opérateurs du système des vulnérabilités et expositions courantes (CVE).

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente NIS 2 et le CIRCL (Computer Incident Response Center Luxembourg, sous SECURITYMADEIN.LU) opère le CSIRT national avec une expertise reconnue sur les vulnerabilites (CIRCL est notamment CVE Numbering Authority depuis 2016). La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, attend des entités essentielles et importantes qu'elles integrent dans leur veille a la fois EUVD (ENISA), CVE/NVD et les bulletins CIRCL/GOVCERT.LU.

Pratique Luxgap : connectez le flux MISP du CIRCL a votre Vulnerability Fusion Engine et notifiez automatiquement le CIRCL via le canal MISP quand vous detectez un IoC lié a une CVE critique exploitee sur votre parc.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant prepare la création de la base européenne des vulnerabilites gérée par l'ENISA. En pratique, les entités essentielles et importantes croient pouvoir continuer a se reposer uniquement sur le NVD américain ou le flux CVE de MITRE. L'ILR, lors d'inspections au titre de la loi du 28 juillet 2023, attend desormais que votre processus de veille intégré EXPLICITEMENT la source ENISA (EUVD) en plus des bases tierces, sous peine de constituer une carence dans la gestion des vulnerabilites exigee par l'article 21 NIS 2.

Ce que ce considérant change concretement pour votre veille CVE

Votre processus de patch management doit citer au moins deux sources : EUVD (ENISA) et CVE/NVD, avec règle de reconciliation en cas de divergence de score CVSS.
Les vulnerabilites publiees en avant-premiere sur EUVD (avant divulgation publique CVE) doivent déclencher un workflow d'évaluation, sinon vous êtes en retard de plusieurs jours sur la fenetre d'exploitation.
La résilience souveraineté est attendue : si le NVD tombe (cas reel du backlog NVD 2024), votre veille ne doit pas s'arreter.
Documentez la traçabilite de chaque CVE traitée (source, date d'ingestion, décision, délai de remédiation) pour produire la preuve a l'ILR.

Comment Luxgap automatise ce risque

Notre Luxgap Vulnerability Fusion Engine elimine l'angle mort de la veille mono-source en agregeant en temps reel EUVD (ENISA), CVE/MITRE, NVD/NIST, GHSA, BSI CERT-Bund et le CIRCL Luxembourg, puis correle chaque CVE a votre inventaire reel d'actifs. L'agent IA lit en continu vos CMDB (ServiceNow, GLPI), votre parc Microsoft Defender, vos images de conteneurs (Harbor, ECR) et vos manifestes SBOM CycloneDX pour ne remonter QUE les vulnerabilites qui touchent vos systèmes.

Ingere les flux EUVD, CVE et NVD toutes les 5 minutes et reconcilie automatiquement les ecarts de scoring CVSS entre sources européenne et américaine.
Detecte les vulnerabilites publiees en pre-disclosure sur EUVD avant leur apparition sur NVD et déclenche une alerte Teams instantanee a votre équipe SecOps.
Correle chaque CVE a vos actifs reels via SBOM, Defender for Endpoint et inventaire Intune, en eliminant 80 a 95 pourcent des CVE non applicables.
Calcule un score d'exploitabilite contextuel en croisant EPSS, CISA KEV et exposition réseau Shodan/Censys de vos IP publiques.
Produit un rapport PDF horodate opposable a l'ILR demontrant le délai entre publication CVE, détection, décision et remédiation, conforme a l'article 21 NIS 2.
Bascule automatiquement vers EUVD si le NVD est indisponible, garantissant la continuite de votre veille même en cas de defaillance de la source américaine.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre parc reel, avec un scan gratuit sous 48h pour mesurer combien de CVE critiques dorment aujourd'hui dans votre angle mort.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 63

Ils nous font confiance

Avant de discuter