Je dois mettre mon organisation luxembourgeoise en conformité au considérant 7 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 7 institue la size-cap rule : toute entreprise moyenne (au sens de la recommandation 2003/361/CE, soit plus de 50 salariés et plus de 10 millions d'euros de chiffre d'affaires ou de bilan) opérant dans un secteur des annexes I ou II tombe automatiquement dans le champ de NIS 2. Le piège que l'ILR sanctionné en pratique : des entreprises qui se croient hors périmètre parce qu'elles n'ont pas été notifiées, alors qu'elles dépassent les seuils et opèrent dans l'infrastructure numérique, la gestion de déchets, la chimie ou la fabrication de dispositifs médicaux. L'auto-qualification est la règle, pas l'attente d'une lettre officielle.Comment lire concretement le considérant 7Calculez vos effectifs et votre chiffre d'affaires consolidés selon la méthode 2003/361/CE (entreprises liées et partenaires inclus), pas seulement l'entité juridique luxembourgeoise.Cartographiez vos activités face aux annexes I (secteurs hautement critiques) et II (secteurs critiques) : si une seule ligne business correspond, toute l'entité est concernée.Identifiez les exceptions size-cap : DNS, TLD, registres de noms de domaine, prestataires de services de confiance qualifiés, opérateurs de communications électroniques publiques sont in scope sans seuil de taille.Anticipez la qualification descendante : une PME ou micro-entreprise peut être désignée ad hoc par l'ILR si elle joue un rôle clé (fournisseur unique d'un hôpital, opérateur d'un nœud d'échange).Documentez votre raisonnement : en cas de contrôle, l'ILR demandera la preuve datée de votre analyse de périmètre, pas une déclaration verbale.Comment Luxgap automatise ce risqueNotre Luxgap Scope Radar répond à la question piège du considérant 7 en moins de 10 minutes : suis-je entité essentielle, importante, ou hors périmètre NIS 2 ?. L'outil interroge automatiquement le RCS Luxembourg, vos données comptables Sage BOB 50 ou Odoo, votre code NACE déclaré, et reconstitue le périmètre consolidé selon la méthode 2003/361/CE avec entreprises liées et partenaires, là où la plupart des organisations se trompent en ne regardant que l'entité luxembourgeoise.Reconstitue automatiquement le groupe consolidé (effectifs, CA, bilan) à partir du RCS, de la BCE et de vos systèmes comptables connectés, sans formulaire à remplir.Croise vos codes NACE et vos lignes business réelles avec les annexes I et II de NIS 2 pour identifier chaque activité in scope, y compris les activités secondaires souvent oubliées.Détecte les exceptions size-cap applicables (DNS, eIDAS, telcos) qui rendent l'entité concernée indépendamment de sa taille.Produit un rapport PDF horodaté et signé cryptographiquement, opposable à l'ILR, qui démontre la date et le raisonnement de votre auto-qualification.Alerte en continu : si votre chiffre d'affaires franchit le seuil ou si vous acquérez une filiale dans un secteur critique, vous recevez une notification Teams ou email dans les 24 heures.Disponible en complement d'un mandat CISO Luxgap ...

Considérant 7 NIS 2 — Considérant 7

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 7

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(7)

En vertu de la directive (UE) 2016/1148, les États membres étaient chargés de déterminer quelles entités remplissaient les critères établis pour être qualifiées d’opérateurs de services essentiels. Afin d’éliminer les divergences importantes entre les États membres à cet égard et de garantir la sécurité juridique concernant les mesures de gestion des risques en matière de cybersécurité et les obligations d’information pour toutes les entités concernées, il convient d’établir un critère uniforme déterminant quelles entités relèvent du champ d’application de la présente directive. Ce critère devrait consister en l’application d’une règle de plafond, selon laquelle toutes les entités constituant des entreprises moyennes en vertu de l’article 2 de l’annexe de la recommandation 2003/361/CE de la Commission (5), ou qui dépassent les plafonds prévus au paragraphe 1 dudit article, et qui sont actives dans les secteurs, fournissent les types de services et exercent les activités couverts par la présente directive, relèvent de son champ d’application. Les États membres devraient également faire en sorte que certaines petites entreprises et microentreprises au sens de l’article 2, paragraphes 2 et 3, de ladite annexe, qui remplissent certains critères indiquant qu’elles jouent un rôle essentiel pour la société, les économies ou pour des secteurs ou des types de services particuliers, relèvent également du champ d’application de la présente directive.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité nationale qui notifié les entités essentielles et importantes en application de la loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025. L'auto-enregistrement des entités concernées se fait via le portail de l'ILR dans les délais fixés par celui-ci, et le défaut d'enregistrement constitue en soi un manquement sanctionnable, indépendamment du respect des mesures techniques.

Pratique Luxgap : ne pas attendre une notification ILR pour s'enregistrer. Faites votre auto-qualification, déposez votre dossier sur le portail ILR, et conservez la preuve horodatée du dépôt comme première pièce de votre dossier d'accountability NIS 2.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 7 institue la size-cap rule : toute entreprise moyenne (au sens de la recommandation 2003/361/CE, soit plus de 50 salariés et plus de 10 millions d'euros de chiffre d'affaires ou de bilan) opérant dans un secteur des annexes I ou II tombe automatiquement dans le champ de NIS 2. Le piège que l'ILR sanctionné en pratique : des entreprises qui se croient hors périmètre parce qu'elles n'ont pas été notifiées, alors qu'elles dépassent les seuils et opèrent dans l'infrastructure numérique, la gestion de déchets, la chimie ou la fabrication de dispositifs médicaux. L'auto-qualification est la règle, pas l'attente d'une lettre officielle.

Comment lire concretement le considérant 7

Calculez vos effectifs et votre chiffre d'affaires consolidés selon la méthode 2003/361/CE (entreprises liées et partenaires inclus), pas seulement l'entité juridique luxembourgeoise.
Cartographiez vos activités face aux annexes I (secteurs hautement critiques) et II (secteurs critiques) : si une seule ligne business correspond, toute l'entité est concernée.
Identifiez les exceptions size-cap : DNS, TLD, registres de noms de domaine, prestataires de services de confiance qualifiés, opérateurs de communications électroniques publiques sont in scope sans seuil de taille.
Anticipez la qualification descendante : une PME ou micro-entreprise peut être désignée ad hoc par l'ILR si elle joue un rôle clé (fournisseur unique d'un hôpital, opérateur d'un nœud d'échange).
Documentez votre raisonnement : en cas de contrôle, l'ILR demandera la preuve datée de votre analyse de périmètre, pas une déclaration verbale.

Comment Luxgap automatise ce risque

Notre Luxgap Scope Radar répond à la question piège du considérant 7 en moins de 10 minutes : suis-je entité essentielle, importante, ou hors périmètre NIS 2 ?. L'outil interroge automatiquement le RCS Luxembourg, vos données comptables Sage BOB 50 ou Odoo, votre code NACE déclaré, et reconstitue le périmètre consolidé selon la méthode 2003/361/CE avec entreprises liées et partenaires, là où la plupart des organisations se trompent en ne regardant que l'entité luxembourgeoise.

Reconstitue automatiquement le groupe consolidé (effectifs, CA, bilan) à partir du RCS, de la BCE et de vos systèmes comptables connectés, sans formulaire à remplir.
Croise vos codes NACE et vos lignes business réelles avec les annexes I et II de NIS 2 pour identifier chaque activité in scope, y compris les activités secondaires souvent oubliées.
Détecte les exceptions size-cap applicables (DNS, eIDAS, telcos) qui rendent l'entité concernée indépendamment de sa taille.
Produit un rapport PDF horodaté et signé cryptographiquement, opposable à l'ILR, qui démontre la date et le raisonnement de votre auto-qualification.
Alerte en continu : si votre chiffre d'affaires franchit le seuil ou si vous acquérez une filiale dans un secteur critique, vous recevez une notification Teams ou email dans les 24 heures.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos données réelles, avec un audit blanc gratuit sous 48 heures pour matérialiser votre qualification NIS 2 avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 7

Ils nous font confiance

Avant de discuter