Je dois mettre mon organisation luxembourgeoise en conformité au considérant 81 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 81 NIS 2 — Considérant 81

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 81

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(81)

Pour éviter que la charge financière et administrative imposée aux entités essentielles et importantes ne soit disproportionnée, il convient que les mesures de gestion des risques en matière de cybersécurité soient proportionnées aux risques auxquels le réseau et le système d’information concernés sont exposés, en prenant en compte l’état de l’art de ces mesures ainsi que, s’il y a lieu, des normes européennes ou internationales pertinentes, et du coût de mise en œuvre de ces mesures.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR applique le principe de proportionnalite en tenant compte de la taille très heterogene du tissu economique : une fintech régulée CSSF de 15 personnes et une banque systemique ne sont pas evaluees sur la même grille. La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, transpose ce principe et permet a l'ILR de moduler ses attentes selon le profil de l'entité essentielle ou importante désignée, sur la base d'une analyse de risque documentee.

Pratique Luxgap : conservez en permanence une analyse de risque datee et signee par la direction, alignee ISO 27005 ou EBIOS RM, qui justifie pourquoi telle mesure article 21(2) est mise en œuvre, reportee ou exclue. C'est ce document qui sera demande en premier lors d'une inspection ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 81 introduit le principe de proportionnalite des mesures de cybersécurité : ni sous-investissement, ni sur-ingenierie. En pratique, l'ILR sanctionné deux derives opposees : l'entité qui invoque la proportionnalite pour ne rien faire ('nous sommes une petite entité importante'), et celle qui deploie un SOC 24/7 sans avoir documente pourquoi son risque le justifie. Sans analyse de risque formalisee qui justifie chaque mesure au regard de l'état de l'art et du cout, vous êtes attaquable des deux cotes.

Le test de proportionnalite que l'ILR attendra

Pour chaque mesure de l'article 21(2) NIS 2, vous devez pouvoir répondre a quatre questions opposables :

Risque adresse : quel scénario de menacé concret (ransomware, supply chain, deni de service) cette mesure attenue, avec quelle probabilité et quel impact mesure ?
état de l'art : quelle norme ou référentiel reconnu (ISO 27001:2022, ENISA, NIST CSF 2.0, BSI IT-Grundschutz) recommande cette mesure pour votre secteur et votre taille ?
Cout de mise en œuvre : combien coute la mesure (CAPEX, OPEX, ETP) rapporte au cout du sinistre evite et au chiffre d'affaires de l'entité ?
Décision documentee : qui a arbitre l'inclusion ou l'exclusion de la mesure, sur quelle base, et a quelle date la décision sera-t-elle reevaluee ?

Comment Luxgap automatise ce risque

Notre Luxgap Proportionality Engine transforme le principe abstrait du considérant 81 en une matrice de décision opposable a l'ILR, générée automatiquement à partir de votre profil de risque reel. L'outil croise votre cartographie d'actifs (extraite d'Active Directory, Microsoft Defender, CrowdStrike, Wazuh, Azure Sentinel), votre exposition (scan externe continu, threat intel ENISA et CTI ILR) et votre profil financier (chiffre d'affaires, effectifs, secteur annexe I ou II) pour calculer, mesure par mesure de l'article 21(2), un score de proportionnalite justifie.

Calcule pour chaque mesure de gestion des risques un score cout/bénéfice base sur votre exposition reelle et compare aux baselines ENISA et ISO 27001:2022 de votre secteur.
Detecte les mesures sous-dimensionnees (risque eleve, contrôle absent ou faible) et les mesures sur-dimensionnees (cout disproportionne au regard du risque residuel).
Genere automatiquement la Statement of Applicability conforme ISO 27001 annexe A, avec justification ecrite de chaque inclusion ou exclusion.
Reevalue le score en continu et alerte sur Teams ou email des qu'un changement (nouvel actif critique, vulnerabilite CVSS > 8, nouvelle norme ENISA) remet en cause la proportionnalite.
Produit un dossier PDF horodate, cryptographiquement scelle, opposable a l'ILR en cas de contrôle, qui démontré que chaque arbitrage de mesure a ete documente, date et signe.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre cartographie reelle, avec un audit blanc gratuit sous 48h pour mesurer l'alignement de vos mesures actuelles au principe de proportionnalite NIS 2.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 81

Ils nous font confiance

Avant de discuter