Je dois mettre mon organisation luxembourgeoise en conformité au considérant 74 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 74 NIS 2 — Considérant 74

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 74

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(74)

Afin de faciliter la mise en œuvre effective de la présente directive, entre autres en ce qui concerne la gestion des vulnérabilités, les mesures de gestion des risques en matière de cybersécurité, les obligations d’information et les accords de partage d’informations en matière de cybersécurité, les États membres peuvent coopérer avec des pays tiers et entreprendre des activités jugées appropriées à cette fin, y compris des échanges d’informations sur les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes, les tactiques, les techniques et les procédures, la préparation et les exercices pour la gestion des crises de cybersécurité, la formation, le renforcement de la confiance ainsi que les arrangements permettant de partager les informations de façon structurée.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR coordonne la cooperation internationale cyber via le GOVCERT.LU (cellule du Haut-Commissariat a la Protection nationale) et le CIRCL (operateur historique de MISP au niveau mondial, base au Luxembourg). La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, autorise explicitement ces échanges mais impose que les operateurs essentiels et importants documentent leur participation aux communautes MISP et leurs flux vers les CERT tiers.

Pratique Luxgap : si vous êtes entité essentielle ou importante au Luxembourg, vous avez quasiment certainement un accès MISP via CIRCL. Documentez formellement votre adhesion, la politique TLP appliquee, et tracez chaque IOC partagé hors UE dans un registre opposable a l'ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant ouvre la porté a la cooperation avec les pays tiers (USA, UK, Suisse, Israel) sur le partagé d'indicators of compromise, de threat intel et d'exercices de crise. Le piège en pratique : vos équipes SOC echangent deja des IOC avec des CERT étrangers via MISP, Slack ou des canaux informels, souvent sans cadre juridique. L'ILR et la CNPD verifient lors d'un contrôle NIS 2 que ces échanges respectent a la fois le partagé d'information cyber légitime (article 29 NIS 2) et le RGPD (transferts hors UE, article 44). Une simple IP partagée avec un CERT américain peut être une donnée personnelle.

Les angles concrets de cooperation a documenter

échange d'IOC avec CERT tiers (US-CERT, NCSC UK, GovCERT.ch) : tracer la base juridique et la finalité.
Participation a des exercices type Cyber Europe, Locked Shields, ou exercices bilateraux : convention ecrite avec ENISA ou organisme hôte.
Adhesion a des communautes MISP sectorielles (FS-ISAC, H-ISAC, energy ISAC) : vérifier la politique de redistribution (TLP).
Partagé de tactics, techniques and procédures (TTP MITRE ATT&CK) avec fournisseurs de threat intel hors UE.
Formation et certification d'analystes SOC via des cursus tiers (SANS, Offensive Security) : pas un transfert de données, mais une dependance a documenter.
Trust building : participation a FIRST, Trusted Introducer, et accreditation du CSIRT.

Comment Luxgap automatise ce risque

Notre Luxgap Threat Intel Gateway transforme votre cooperation cyber informelle en flux gouverne, trace et conforme RGPD + NIS 2. L'outil s'intercale entre votre MISP / TheHive / Sentinel et les communautes externes (CERT tiers, ISAC sectoriels, fournisseurs de threat intel), inspecte chaque IOC sortant pour détecter les données personnelles, et applique automatiquement la base juridique adaptee au transfert.

Detecte en temps reel les données personnelles cachées dans les IOC partagés (IP residentielles, emails, hashes de fichiers contenant des PII) avant export vers un CERT tiers.
Classifie chaque partagé selon le TLP (White, Green, Amber, Red) et bloque automatiquement les fuites non conformes au feu vert defini.
Maintient un registre horodate de tous les échanges entrants et sortants avec CERT US, UK, CH, Israel, opposable a l'ILR et a la CNPD.
Genere les clauses contractuelles types (DPF, CCT 2021/914) et la TIA prerremplie pour chaque communaute externe.
Alerte instantanement sur Teams ou Slack quand un analyste tente de partager un IOC contenant une PII vers une juridiction sans décision d'adéquation.
Produit un rapport trimestriel de cooperation internationale, document attendu lors d'une inspection ILR sur la maturite article 29.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes preparent un scan gratuit de vos flux MISP et threat intel sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 74

Ils nous font confiance

Avant de discuter