Je dois mettre mon organisation luxembourgeoise en conformité au considérant 78 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 78 NIS 2 — Considérant 78

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 78

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(78)

Les mesures de gestion des risques en matière de cybersécurité devraient tenir compte du degré de dépendance de l’entité essentielle ou importante à l’égard des réseaux et des systèmes d’information, et comprendre des mesures permettant de déterminer tous les risques d’incidents, de prévenir et de repérer les incidents, ainsi que de réagir face à ces incidents, de se rétablir après les incidents et d’en atténuer les effets. La sécurité des réseaux et des systèmes d’information devrait inclure la sécurité des données stockées, transmises et traitées. Les mesures de gestion des risques en matière de cybersécurité devraient prévoir une analyse systémique qui tienne compte du facteur humain, afin de disposer d’une vue d’ensemble complète sur la sécurité des réseaux et des systèmes d’information.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR applique la lecture systemique du considérant 78 via la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Lors des inspections, l'ILR exige la demonstration concrete de la couverture des six phases NIST et de la prise en compte du facteur humain, avec sanctions administratives jusqu'à 10 M'EUR ou 2% du CA mondial pour les entités essentielles.

Pratique Luxgap : preparez un dossier d'inspection ILR structure selon les six phases NIST CSF, avec preuves techniques (logs Defender/Sentinel) ET preuves humaines (taux de completion formation, résultats simulations phishing) pour chacune.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 78 eclaire l'article 21 en imposant une lecture systemique de la cybersécurité : ce n'est pas une checklist de pare-feu, c'est une vue d'ensemble qui inclut le facteur humain, les données au repos, en transit et en traitement, et tout le cycle de vie de l'incident (identifier, prévenir, détecter, reagir, recuperer, attenuer). L'ILR sanctionné les entités qui presentent un PSSI papier mais ne peuvent pas démontrer la couverture concrete des six phases NIST ni la cartographie de leur dependance aux SI. Le piège classique : avoir un EDR moderne mais aucune mesure sur l'erreur humaine (phishing, mauvaise manipulation, shadow IT), ou inversement.

Les six phases que votre dispositif doit couvrir explicitement

Identifier : cartographie des actifs SI, des dependances metier et du facteur humain (qui a accès a quoi).
Prévenir : durcissement technique (MFA, segmentation, chiffrement) ET formation continue des collaborateurs.
Détecter : SIEM, EDR, surveillance des comportements anormaux, alertes en temps reel.
Reagir : plan de réponse a incident teste, cellule de crise, communication ILR sous 24h/72h.
Recuperer : sauvegardes immuables, plan de reprise teste, RTO/RPO documentes.
Attenuer : retour d'expérience post-incident, actions correctives tracees, mise à jour du registre des risques.

L'analyse systemique exigee par le considérant 78 signifié que chaque phase doit être evaluee pour ses dimensions techniques, organisationnelles ET humaines. Une mesure purement technique qui ignore l'utilisateur final est non conforme.

Comment Luxgap automatise ce risque

Notre Luxgap Systemic Cyber Radar transforme l'exigence d'analyse systemique du considérant 78 en une matrice vivante qui couvre les six phases NIST CSF, croisee avec les trois dimensions (technique, organisationnelle, humaine). L'outil se connecte a Microsoft Defender, Azure Sentinel, CrowdStrike, Wazuh, votre Active Directory et votre LMS (KnowBe4, Riot, Phished) pour materialiser en temps reel la couverture reelle de votre dispositif, sans déclaratif.

Calcule un score de maturite par phase NIST CSF (Identify, Protect, Detect, Respond, Recover) croise avec les contrôles techniques, organisationnels et humains pour révéler les angles morts.
Detecte automatiquement les utilisateurs a risque eleve (clics phishing repetes, partagés externes anormaux, privilèges excessifs) en croisant Defender for Office 365, Purview et les logs AD.
Scanne la couverture des données aux trois états : chiffrement au repos (BitLocker, Azure Disk Encryption), en transit (TLS 1.3, certificats), et en traitement (Confidential Computing, masquage).
Simule des scénarios d'incident (ransomware, exfiltration, compromission de compte privilégié) et mesure le temps de détection et de réponse reel sur votre SI connecte.
Produit un rapport PDF horodate cryptographiquement scelle, opposable a l'ILR lors d'une inspection, qui démontré l'analyse systemique exigee par le considérant 78 et l'article 21.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre SI reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition systemique avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 78

Ils nous font confiance

Avant de discuter