Je dois mettre mon organisation luxembourgeoise en conformité au considérant 73 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant ouvre la porté aux échanges de cyber-renseignement avec des pays tiers (US-CERT, CISA, NCSC-UK, partenaires OTAN), mais beaucoup d'entités NIS 2 partagent deja des IoC, telemetries EDR et logs de SIEM avec des MSSP ou CERT hors UE sans encadrement. L'ILR et la CNPD verifient en inspection que ces transferts respectent le chapitre V du RGPD (CCT, TIA post-Schrems II) ET les règles de confidentialité NIS 2. Le piège : croire qu'un partagé d'IoC est neutre alors qu'il contient souvent des données personnelles (adresses IP, hashes de comptes compromis, noms d'utilisateurs).Ce que ce considérant change concretement pour les entités essentielles et importantesLes accords internationaux de l'UE (futurs partenariats EU-CyCLONe avec pays tiers) creeront des canaux officiels : il faudra cartographier vos échanges informels actuels pour les migrer vers ces canaux quand ils existeront.Vos contrats MSSP, CTI (CrowdStrike, Mandiant, Recorded Future) et infogerance impliquent souvent un transfert d'informations cyber vers les US, Israel, UK : chaque flux doit être documente avec base juridique RGPD + clause de confidentialité NIS 2.Les états membres conservent leur droit de cooperer bilateralement sur la gestion des vulnerabilites : au Luxembourg, le CIRCL (GOVCERT.LU) joue ce rôle et peut être votre point de contact officiel pour les échanges transfrontaliers.Le partagé d'informations doit rester conforme au droit de l'Union : un partagé d'IoC contenant des données personnelles vers un pays sans décision d'adéquation exposé a une double sanction CNPD + ILR.Comment Luxgap automatise ce risqueNotre Luxgap Cyber Intel Flow Mapper rend visible et opposable chaque flux de renseignement cyber sortant de votre organisation vers un pays tiers, la ou la concurrence se contente d'un registre Excel des sous-traitants. L'outil intercepte au niveau du SIEM (Sentinel, Splunk, Wazuh), de l'EDR (Defender, CrowdStrike, SentinelOne) et des plateformes CTI les flux d'IoC, telemetries et logs envoyes hors UE, puis croise avec votre registre RGPD article 30 pour materialiser les transferts caches.Detecte en temps reel chaque envoi d'IoC ou de telemetrie EDR vers un endpoint hors UE (CrowdStrike Falcon US, Mandiant Reston, Recorded Future Boston) via inspection des appels API sortants.Classifie chaque flux selon sa nature (IoC anonyme, hash de credentiel, log d'authentification nominatif) pour identifier ceux qui contiennent des données personnelles au sens RGPD.Genere automatiquement la TIA (Transfer Impact Assessment) post-Schrems II adaptee a chaque destinataire, prerempli avec le cadre légal du pays (FISA 702, CLOUD Act, DPF) et les mesures supplémentaires recommandees.Vérifié la coherence avec les canaux officiels de l'EU-CyCLONe et du CSIRT network, et alerte si un partagé bilateral devrait passer par le CIRCL plutot qu'en direct.Publie un tableau de bord d'exposition aux transferts cyber, exportable en PDF horodate opposable a l'ILR et a l...

Considérant 73 NIS 2 — Considérant 73

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 73

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(73)

L’Union peut, conformément à l’article 218 du traité sur le fonctionnement de l’Union européenne et lorsque cela est pertinent, conclure, avec des pays tiers ou des organisations internationales, des accords internationaux qui permettent et organisent leur participation à certaines activités du groupe de coopération, du réseau des CSIRT ainsi que d’EU-CyCLONe. De tels accords devraient garantir les intérêts de l’Union et assurer une protection adéquate des données. Cela ne saurait porter atteinte au droit qu’ont les États membres de coopérer avec des pays tiers sur la gestion des vulnérabilités et des risques touchant la cybersécurité, dans le but de faciliter le signalement et le partage général d’informations en conformité avec le droit de l’Union.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR la supervision des entités essentielles et importantes, tandis que le CIRCL (Computer Incident Response Center Luxembourg), opère par securitymadein.lu, et le GOVCERT.LU agissent comme CSIRT nationaux et points de contact pour les échanges cyber transfrontaliers. Les entités NIS 2 luxembourgeoises qui partagent des IoC avec des partenaires hors UE doivent privilégier le canal CIRCL/MISP plutot qu'un partagé bilateral non encadre.

Pratique Luxgap : nous cartographions vos flux CTI sortants et basculons les échanges qui peuvent l'être vers la plateforme MISP du CIRCL, ce qui securise juridiquement le partagé tout en preservant la valeur opérationnelle pour vos analystes SOC.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant ouvre la porté aux échanges de cyber-renseignement avec des pays tiers (US-CERT, CISA, NCSC-UK, partenaires OTAN), mais beaucoup d'entités NIS 2 partagent deja des IoC, telemetries EDR et logs de SIEM avec des MSSP ou CERT hors UE sans encadrement. L'ILR et la CNPD verifient en inspection que ces transferts respectent le chapitre V du RGPD (CCT, TIA post-Schrems II) ET les règles de confidentialité NIS 2. Le piège : croire qu'un partagé d'IoC est neutre alors qu'il contient souvent des données personnelles (adresses IP, hashes de comptes compromis, noms d'utilisateurs).

Ce que ce considérant change concretement pour les entités essentielles et importantes

Les accords internationaux de l'UE (futurs partenariats EU-CyCLONe avec pays tiers) creeront des canaux officiels : il faudra cartographier vos échanges informels actuels pour les migrer vers ces canaux quand ils existeront.
Vos contrats MSSP, CTI (CrowdStrike, Mandiant, Recorded Future) et infogerance impliquent souvent un transfert d'informations cyber vers les US, Israel, UK : chaque flux doit être documente avec base juridique RGPD + clause de confidentialité NIS 2.
Les états membres conservent leur droit de cooperer bilateralement sur la gestion des vulnerabilites : au Luxembourg, le CIRCL (GOVCERT.LU) joue ce rôle et peut être votre point de contact officiel pour les échanges transfrontaliers.
Le partagé d'informations doit rester conforme au droit de l'Union : un partagé d'IoC contenant des données personnelles vers un pays sans décision d'adéquation exposé a une double sanction CNPD + ILR.

Comment Luxgap automatise ce risque

Notre Luxgap Cyber Intel Flow Mapper rend visible et opposable chaque flux de renseignement cyber sortant de votre organisation vers un pays tiers, la ou la concurrence se contente d'un registre Excel des sous-traitants. L'outil intercepte au niveau du SIEM (Sentinel, Splunk, Wazuh), de l'EDR (Defender, CrowdStrike, SentinelOne) et des plateformes CTI les flux d'IoC, telemetries et logs envoyes hors UE, puis croise avec votre registre RGPD article 30 pour materialiser les transferts caches.

Detecte en temps reel chaque envoi d'IoC ou de telemetrie EDR vers un endpoint hors UE (CrowdStrike Falcon US, Mandiant Reston, Recorded Future Boston) via inspection des appels API sortants.
Classifie chaque flux selon sa nature (IoC anonyme, hash de credentiel, log d'authentification nominatif) pour identifier ceux qui contiennent des données personnelles au sens RGPD.
Genere automatiquement la TIA (Transfer Impact Assessment) post-Schrems II adaptee a chaque destinataire, prerempli avec le cadre légal du pays (FISA 702, CLOUD Act, DPF) et les mesures supplémentaires recommandees.
Vérifié la coherence avec les canaux officiels de l'EU-CyCLONe et du CSIRT network, et alerte si un partagé bilateral devrait passer par le CIRCL plutot qu'en direct.
Publie un tableau de bord d'exposition aux transferts cyber, exportable en PDF horodate opposable a l'ILR et a la CNPD lors d'un contrôle conjoint.

Disponible en complement d'un mandat CISO ou DPO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent un scan gratuit de vos flux CTI sortants sous 48h pour materialiser votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 73

Ils nous font confiance

Avant de discuter