Je dois mettre mon organisation luxembourgeoise en conformité au considérant 80 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 80 ouvre la porté a une obligation que beaucoup d'entités sous-estiment : l'ILR peut, dans le cadre de ses inspections NIS 2, exiger l'usage de produits, services et processus TIC certifies au sens du Cybersecurity Act. En l'absence de schemas européens encore matures, les autorités s'appuient sur les normes ISO 27001, ISO 27002, IEC 62443, ETSI EN 303 645 et les guides ENISA comme standard de fait. Le piège : se contenter d'une politique de sécurité maison sans référence normative, puis devoir reconstruire a posteriori une preuve de conformité lors d'un contrôle ILR.Le standard de fait : ce que l'ILR et l'ENISA attendent en pratiqueISO/IEC 27001 certifie par un organisme accredite OLAS reste la référence pour démontrer un SMSI structure couvrant les 10 mesures de l'article 21 NIS 2.ENISA NIS 2 Technical Implementation Guidance publiee en 2024 cartographie chaque mesure de l'article 21 vers des contrôles ISO 27002:2022 et CIS Controls v8.IEC 62443 pour les entités OT (energie, eau, transport, industrie chimique annexe I).EUCC (premier schema européen adopte sous le Cybersecurity Act) pour les produits TIC critiques : firewalls, HSM, solutions de signature.SecNumCloud ou C5 allemand reconnus de facto pour les fournisseurs cloud sensibles, en attendant le schema EUCS.Documentation de la chaîne de certification de vos fournisseurs critiques : un sous-traitant non certifie sur un service critique devient votre point faible lors d'une inspection.Comment Luxgap automatise ce risqueNotre Luxgap Certification Mesh transforme la question "quelles normes appliquer pour prouver la conformité NIS 2 a l'ILR" en une cartographie vivante de votre stack technique et de vos fournisseurs, croisee en temps reel avec les schemas de certification européens et internationaux pertinents. L'outil interroge en continu les API de vos fournisseurs cloud (Azure, AWS, OVH, LuxConnect, eBRC), votre CMDB, votre annuaire Active Directory et vos contrats Odoo pour reconstituer la chaîne de certification reelle, sans questionnaire fournisseur a remplir.Detecte automatiquement chaque composant TIC en production et identifié le schema de certification applicable (EUCC, EUCS, ISO 27001, IEC 62443, SOC 2, HDS, SecNumCloud).Vérifié la validité des certificats fournisseurs via scraping des registres officiels ENISA, ANSSI, BSI et ILNAS, avec alerte 90 jours avant expiration.Mappe automatiquement chaque mesure de l'article 21 NIS 2 vers les contrôles ISO 27002:2022 et CIS v8 correspondants, en s'appuyant sur le guide ENISA d'implementation.Calcule un score d'exposition normative par entité et par processus critique, indiquant les zones ou l'absence de certification exposé a une demande ILR.Genere un rapport PDF horodate, opposable lors d'une inspection ILR, qui démontré la démarché de conformité normative article 21(1) NIS 2.Alerte instantanement (Teams, email) lorsqu'un nouveau service non certifie est intégré dans la chaîne d'approvisionnement TIC.D...

Considérant 80 NIS 2 — Considérant 80

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 80

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(80)

Afin de démontrer la conformité avec les mesures de gestion des risques en matière de cybersécurité, et en l’absence de schémas européens de certification de cybersécurité appropriés adoptés conformément au règlement (UE) 2019/881 du Parlement européen et du Conseil (18), les États membres devraient, en concertation avec le groupe de coopération et le groupe européen de certification de cybersécurité, promouvoir l’utilisation des normes européennes et internationales pertinentes par les entités essentielles et importantes ou peuvent exiger des entités qu’elles utilisent des produits TIC, services TIC et processus TIC certifiés.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour contrôler les mesures de gestion des risques des entités essentielles et importantes. L'ILNAS est l'organisme national de normalisation et d'accreditation : il pilote le système OLAS qui accredite les organismes certificateurs ISO 27001 reconnus par l'ILR lors des inspections.

Pratique Luxgap : faites certifier votre SMSI par un organisme accredite OLAS et conservez la cartographie ENISA Article 21 vers ISO 27002:2022 sous forme opposable. C'est la combinaison qui ferme le dossier lors d'une inspection ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 80 ouvre la porté a une obligation que beaucoup d'entités sous-estiment : l'ILR peut, dans le cadre de ses inspections NIS 2, exiger l'usage de produits, services et processus TIC certifies au sens du Cybersecurity Act. En l'absence de schemas européens encore matures, les autorités s'appuient sur les normes ISO 27001, ISO 27002, IEC 62443, ETSI EN 303 645 et les guides ENISA comme standard de fait. Le piège : se contenter d'une politique de sécurité maison sans référence normative, puis devoir reconstruire a posteriori une preuve de conformité lors d'un contrôle ILR.

Le standard de fait : ce que l'ILR et l'ENISA attendent en pratique

ISO/IEC 27001 certifie par un organisme accredite OLAS reste la référence pour démontrer un SMSI structure couvrant les 10 mesures de l'article 21 NIS 2.
ENISA NIS 2 Technical Implementation Guidance publiee en 2024 cartographie chaque mesure de l'article 21 vers des contrôles ISO 27002:2022 et CIS Controls v8.
IEC 62443 pour les entités OT (energie, eau, transport, industrie chimique annexe I).
EUCC (premier schema européen adopte sous le Cybersecurity Act) pour les produits TIC critiques : firewalls, HSM, solutions de signature.
SecNumCloud ou C5 allemand reconnus de facto pour les fournisseurs cloud sensibles, en attendant le schema EUCS.
Documentation de la chaîne de certification de vos fournisseurs critiques : un sous-traitant non certifie sur un service critique devient votre point faible lors d'une inspection.

Comment Luxgap automatise ce risque

Notre Luxgap Certification Mesh transforme la question "quelles normes appliquer pour prouver la conformité NIS 2 a l'ILR" en une cartographie vivante de votre stack technique et de vos fournisseurs, croisee en temps reel avec les schemas de certification européens et internationaux pertinents. L'outil interroge en continu les API de vos fournisseurs cloud (Azure, AWS, OVH, LuxConnect, eBRC), votre CMDB, votre annuaire Active Directory et vos contrats Odoo pour reconstituer la chaîne de certification reelle, sans questionnaire fournisseur a remplir.

Detecte automatiquement chaque composant TIC en production et identifié le schema de certification applicable (EUCC, EUCS, ISO 27001, IEC 62443, SOC 2, HDS, SecNumCloud).
Vérifié la validité des certificats fournisseurs via scraping des registres officiels ENISA, ANSSI, BSI et ILNAS, avec alerte 90 jours avant expiration.
Mappe automatiquement chaque mesure de l'article 21 NIS 2 vers les contrôles ISO 27002:2022 et CIS v8 correspondants, en s'appuyant sur le guide ENISA d'implementation.
Calcule un score d'exposition normative par entité et par processus critique, indiquant les zones ou l'absence de certification exposé a une demande ILR.
Genere un rapport PDF horodate, opposable lors d'une inspection ILR, qui démontré la démarché de conformité normative article 21(1) NIS 2.
Alerte instantanement (Teams, email) lorsqu'un nouveau service non certifie est intégré dans la chaîne d'approvisionnement TIC.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre stack reelle, avec un scan gratuit du périmètre sous 48h pour mesurer votre exposition normative avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 80

Ils nous font confiance

Avant de discuter