Je dois mettre mon organisation luxembourgeoise en conformité au considérant 77 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 77 NIS 2 — Considérant 77

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 77

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(77)

Dans une large mesure, il incombe aux entités essentielles et importantes de garantir la sécurité des réseaux et des systèmes d’information. Il convient de promouvoir et de faire progresser une culture de la gestion des risques impliquant une analyse des risques et l’application de mesures de gestion des risques en matière de cybersécurité adaptées aux risques encourus.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente pour contrôler la mise en œuvre concrete de cette culture de gestion des risques. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, confere a l'ILR le pouvoir de mener des inspections sur place, d'exiger la production de l'analyse de risques et d'infliger des sanctions administratives pouvant atteindre 10 millions d'euros ou 2% du chiffre d'affaires mondial pour les entités essentielles. L'ILR attend une analyse de risques formalisee, datee, signee par la direction et reliee aux mesures techniques deployees.

Pratique Luxgap : nous calons le Risk Culture Engine sur le référentiel ILR et fournissons un rapport bilingue FR/EN directement exploitable en cas de contrôle, avec signature électronique LuxTrust ou Qualified Trust Service.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant pose un principe fondateur de NIS 2 : la sécurité n'est pas une obligation de moyens delegable au prestataire IT, c'est une responsabilité primaire de l'entité essentielle ou importante. En pratique, l'ILR sanctionné lourdement les organisations qui presentent une politique de sécurité ecrite mais incapables de démontrer une analyse de risques vivante, datee, revue et reliee aux mesures techniques deployees. Le piège n'est pas l'absence de politique, c'est l'absence de culture de gestion des risques : un document Word de 2021 ne suffit plus.

Ce que ce considérant change concretement pour l'article 21

L'article 21 de NIS 2 est lu a la lumiere de ce considérant 77. Concretement, lors d'une inspection ILR, l'auditeur cherchera des preuves de :

Une analyse de risques datee de moins de 12 mois, signee par la direction (et non par l'IT seul).
Une cartographie des actifs critiques mise à jour automatiquement, pas un Excel fige.
Une matrice de risques avec scoring (probabilité x impact) reliee a des mesures de mitigation tracables.
La preuve que les mesures sont proportionnées aux risques identifiés : pas de surcouche générique ISO 27001 copiee-collee.
Des revues périodiques après incident, après changement majeur de SI, ou après évolution menacé (ex : nouveau ransomware sectoriel).
Une implication documentee de l'organe de direction (article 20), formation incluse.

Le considérant 77 transforme une obligation déclarative en obligation démontrable et culturelle. C'est ce glissement qui piège les organisations habituees a la conformité papier.

Comment Luxgap automatise ce risque

Notre Luxgap Risk Culture Engine transforme votre analyse de risques statique en organisme vivant qui se reevalue automatiquement a chaque changement detecte dans votre SI. L'outil branche un agent LLM spécialisé sur vos sources opérationnelles (Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, Active Directory, Odoo, ITSM) et recalcule en continu la matrice de risques NIS 2 sans demander au RSSI de remplir le moindre tableur.

Detecte en temps reel chaque nouvel actif critique apparu dans votre SI (nouveau serveur, nouvelle application SaaS, nouveau flux de données) et l'intégré automatiquement a la cartographie.
Recalcule le score de risque toutes les 24h en croisant les CVE publiees, les alertes ENISA sectorielles et l'expositiob reelle mesuree par vos EDR connectes.
Genere un rapport d'analyse de risques PDF horodate, cryptographiquement scelle, opposable a l'ILR lors d'un contrôle, avec signature électronique de la direction.
Alerte la direction sur Teams ou Slack des qu'un risque change de criticite, avec proposition de mesure de mitigation chiffree (cout / délai / reduction de risque attendue).
Produit le compte-rendu de comite de risques trimestriel pre-rempli, prouvant l'implication de l'organe de direction exigee a l'article 20.
Trace chaque décision de risque accepte avec horodatage et signataire, materialisant la culture de gestion des risques voulue par le considérant 77.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer la maturite de votre culture de gestion des risques avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 77

Ils nous font confiance

Avant de discuter