Je dois mettre mon organisation luxembourgeoise en conformité au considérant 79 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLes entités NIS 2 concentrent leurs efforts sur le pare-feu, l'EDR et le SIEM, puis l'ILR decouvre lors d'une inspection que le local serveur est ouvert avec un badge générique partagé entre 40 personnes, que le groupe electrogene n'a pas ete teste depuis 18 mois, et que les anciens administrateurs système conservent leurs accès VPN après leur depart. Le considérant 79 impose une approche tous risques : vol, incendie, inondation, panne electrique, erreur humaine, acte malveillant, phenomene naturel. Négliger la sécurité physique, la sécurité environnementale ou la sécurité RH suffit a faire requalifier la gouvernance comme non conforme a l'article 21.Les 6 angles morts de l'approche tous risquesSécurité physique : contrôle d'accès aux datacenters, salles de brassage, baies réseau, locaux techniques, avec tracabilite individuelle (pas de badge mutualise).Sécurité environnementale : détection incendie, détection d'eau, climatisation redondante, onduleurs testes, groupe electrogene avec essais mensuels documentes.Sécurité RH : vérification des antecedents avant embauche sur postes sensibles, clauses de confidentialité, processus de depart (revocation immediate des accès logiques ET physiques).Contrôle d'accès logique : politique formelle, revue trimestrielle des droits, principe du moindre privilège, MFA generalise.Coherence CER (directive 2022/2557) : pour les entités critiques, alignement entre plan de résilience physique et plan cyber, pas de silo.Référence ISO/CEI 27001 et 27002 : contrôles A.7 (sécurité physique), A.6 (sécurité RH), A.5.15 a A.5.18 (contrôle d'accès) constituent le standard de fait attendu par l'ILR.Comment Luxgap automatise ce risqueNotre Luxgap All-Hazards Sentinel elimine l'angle mort tous risques en croisant en temps reel vos systèmes cyber (Microsoft Defender, Sentinel, CrowdStrike, Wazuh) avec vos systèmes physiques (contrôle d'accès badge, GTB du datacenter, supervision onduleur eBRC ou LuxConnect, alarmes incendie) et vos systèmes RH (Workday LU, Sopra Steria HR Suite, Active Directory). L'outil materialise une carte unique des risques physiques, environnementaux, RH et logiques alignee ISO/CEI 27001 Annexe A, et detecte les desynchronisations qui font tomber les entités en inspection ILR.Detecte automatiquement chaque collaborateur quittant l'entreprise dans le SIRH et vérifié sous 24h la revocation effective de tous ses accès logiques (AD, M365, VPN, SaaS) et physiques (badges, clés, tokens).Surveille en continu l'état des contrôles environnementaux (temperature salle serveur, charge onduleur, dernière bascule groupe electrogene) via les API GTB et alerte sur Teams des qu'un seuil ISO 27002 A.7.5 ou A.7.11 est franchi.Scanne mensuellement vos badges d'accès physique aux locaux sensibles et flague les badges génériques, partagés, dormants depuis plus de 90 jours, ou attribues a des prestataires sans contrat valide.Croise vos contrats RH (clauses de confidentialité, vérification d'antecedents pour p...

Considérant 79 NIS 2 — Considérant 79

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 79

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(79)

Étant donné que les menaces pesant sur la sécurité des réseaux et des systèmes d’information peuvent avoir des origines différentes, les mesures de gestion des risques en matière de cybersécurité devraient se fonder sur une approche «tous risques» qui vise à protéger les réseaux et les systèmes d’information ainsi que leur environnement physique contre des événements tels que le vol, les incendies, les inondations, une défaillance des télécommunications ou une défaillance électrique, ou contre tout accès physique non autorisé et toute atteinte aux informations détenues par l’entité essentielle ou importante et aux installations de traitement de l’information de l’entité, ou toute interférence avec ces informations et installations, susceptibles de compromettre la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et systèmes d’information ou accessibles par ceux-ci. Les mesures de gestion des risques en matière de cybersécurité devraient donc également porter sur la sécurité physique et la sécurité de l’environnement des réseaux et des systèmes d’information, en incluant des mesures visant à protéger ces systèmes contre les défaillances du système, les erreurs humaines, les actes malveillants ou les phénomènes naturels, conformément aux normes européennes et internationales, par exemple celles figurant dans la série ISO/CEI 27000. À cet égard, les entités essentielles et importantes devraient, dans le cadre de leurs mesures de gestion des risques en matière de cybersécurité, tenir également compte de la sécurité liée aux ressources humaines et mettre en place des politiques appropriées en matière de contrôle de l’accès. Ces mesures devraient être cohérentes avec la directive (UE) 2022/2557.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR le contrôle de l'approche tous risques. L'ILR attend une articulation explicite avec la loi du 23 juillet 2016 relative aux entités critiques (transposition CER) pour les entités concernees par les deux regimes, notamment dans l'energie, le transport et la santé, ou hébergement chez eBRC, LuxConnect ou POST implique des audits coordonnes physique et cyber.

Pratique Luxgap : nous cartographions vos contrôles ISO/CEI 27002 A.7 et A.6 sur la grille d'inspection ILR et alignons votre plan de résilience physique avec votre plan NIS 2 dans un dossier unique opposable.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les entités NIS 2 concentrent leurs efforts sur le pare-feu, l'EDR et le SIEM, puis l'ILR decouvre lors d'une inspection que le local serveur est ouvert avec un badge générique partagé entre 40 personnes, que le groupe electrogene n'a pas ete teste depuis 18 mois, et que les anciens administrateurs système conservent leurs accès VPN après leur depart. Le considérant 79 impose une approche tous risques : vol, incendie, inondation, panne electrique, erreur humaine, acte malveillant, phenomene naturel. Négliger la sécurité physique, la sécurité environnementale ou la sécurité RH suffit a faire requalifier la gouvernance comme non conforme a l'article 21.

Les 6 angles morts de l'approche tous risques

Sécurité physique : contrôle d'accès aux datacenters, salles de brassage, baies réseau, locaux techniques, avec tracabilite individuelle (pas de badge mutualise).
Sécurité environnementale : détection incendie, détection d'eau, climatisation redondante, onduleurs testes, groupe electrogene avec essais mensuels documentes.
Sécurité RH : vérification des antecedents avant embauche sur postes sensibles, clauses de confidentialité, processus de depart (revocation immediate des accès logiques ET physiques).
Contrôle d'accès logique : politique formelle, revue trimestrielle des droits, principe du moindre privilège, MFA generalise.
Coherence CER (directive 2022/2557) : pour les entités critiques, alignement entre plan de résilience physique et plan cyber, pas de silo.
Référence ISO/CEI 27001 et 27002 : contrôles A.7 (sécurité physique), A.6 (sécurité RH), A.5.15 a A.5.18 (contrôle d'accès) constituent le standard de fait attendu par l'ILR.

Comment Luxgap automatise ce risque

Notre Luxgap All-Hazards Sentinel elimine l'angle mort tous risques en croisant en temps reel vos systèmes cyber (Microsoft Defender, Sentinel, CrowdStrike, Wazuh) avec vos systèmes physiques (contrôle d'accès badge, GTB du datacenter, supervision onduleur eBRC ou LuxConnect, alarmes incendie) et vos systèmes RH (Workday LU, Sopra Steria HR Suite, Active Directory). L'outil materialise une carte unique des risques physiques, environnementaux, RH et logiques alignee ISO/CEI 27001 Annexe A, et detecte les desynchronisations qui font tomber les entités en inspection ILR.

Detecte automatiquement chaque collaborateur quittant l'entreprise dans le SIRH et vérifié sous 24h la revocation effective de tous ses accès logiques (AD, M365, VPN, SaaS) et physiques (badges, clés, tokens).
Surveille en continu l'état des contrôles environnementaux (temperature salle serveur, charge onduleur, dernière bascule groupe electrogene) via les API GTB et alerte sur Teams des qu'un seuil ISO 27002 A.7.5 ou A.7.11 est franchi.
Scanne mensuellement vos badges d'accès physique aux locaux sensibles et flague les badges génériques, partagés, dormants depuis plus de 90 jours, ou attribues a des prestataires sans contrat valide.
Croise vos contrats RH (clauses de confidentialité, vérification d'antecedents pour postes sensibles) avec votre cartographie des rôles critiques NIS 2 et identifié les profils non couverts.
Vérifié la coherence entre vos plans de continuite physique (directive CER 2022/2557) et vos plans cyber NIS 2, et produit un rapport unique opposable a l'ILR.
Genere un rapport PDF horodate, cryptographiquement scelle, demontrant l'approche tous risques exigee par le considérant 79 lors d'un contrôle ILR.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h qui materialise vos angles morts physiques, environnementaux et RH avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 79

Ils nous font confiance

Avant de discuter