Je dois mettre mon organisation luxembourgeoise en conformité au considérant 82 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 82 NIS 2 — Considérant 82

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 82

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(82)

Les mesures de gestion des risques en matière de cybersécurité devraient être proportionnées au degré d’exposition de l’entité essentielle ou importante aux risques et à l’impact sociétal et économique potentiel d’un incident. Lors de la mise en place de mesures de gestion des risques en matière de cybersécurité adaptées aux entités essentielles et importantes, il convient de tenir dûment compte des différents niveaux d’exposition aux risques des entités essentielles et importantes, telles que la criticité de l’entité, les risques, y compris les risques sociétaux, auxquels elle est exposée, la taille de l’entité et la probabilité de survenance d’incidents et leur gravité, y compris leur impact sociétal et économique.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025)

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, confie a l'ILR le pouvoir de désigner les entités essentielles et importantes et d'apprecier la proportionnalite des mesures lors des inspections. L'ILR publie des lignes directrices sectorielles (energie, telecoms, infrastructure numérique) qui precisent les attentes minimales par taille et criticite, et qui servent de grille de lecture lors des contrôles.

Pratique Luxgap : nous alimentons la matrice de proportionnalite avec les lignes directrices ILR publiees pour votre secteur, afin que votre dossier reponde directement aux critères que l'inspecteur utilisera sur le terrain.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 82 pose le principe de proportionnalite des mesures de cybersécurité, mais en pratique l'ILR sanctionné deux extremes : la PME qui s'abrite derrière sa petite taille pour justifier l'absence de SIEM, et le grand groupe qui applique uniformement un socle ISO 27001 sans moduler par criticite metier. Sans analyse de risque documentee qui justifie pourquoi telle mesure est jugée suffisante pour tel actif, l'argument de proportionnalite devient indefendable lors d'une inspection.

Les 5 axes de modulation que l'ILR attend dans votre dossier

Criticite de l'entité : poids dans la chaîne de valeur sectorielle (un operateur energetique unique vs un acteur parmi 20).
Exposition aux risques societaux : impact sur la population en cas d'arret (eau, santé, transport, telecoms).
Taille : effectifs, chiffre d'affaires, périmètre géographique, nombre de sites.
Probabilité d'incident : historique, secteur cible, exposition internet, presence dans les rapports ENISA Threat Landscape.
Sévérité potentielle : impact financier, reputationnel, sanitaire, environnemental, et effet domino sur d'autres entités essentielles.

Chaque mesure de l'article 21 doit être tracee a au moins un de ces axes. Une matrice de proportionnalite signee par la direction est la pièce maitresse a presenter a l'ILR.

Comment Luxgap automatise ce risque

Notre Luxgap Proportionality Matrix transforme le principe abstrait du considérant 82 en une matrice de décision opposable a l'ILR. L'outil croise votre profil d'entité (secteur annexe I/II, effectifs Sage BOB, CA, nombre de sites LuxConnect/eBRC), votre cartographie d'actifs critiques importee depuis Azure Resource Graph, AWS Config et votre CMDB, et le ENISA Threat Landscape sectoriel pour calculer dynamiquement un niveau de mesure attendu par actif et par domaine de l'article 21.

Calcule un score d'exposition par actif critique en combinant criticite metier, probabilité sectorielle ENISA et sévérité d'impact societal.
Justifie chaque mesure retenue ou ecartee avec un raisonnement traceur reliant le choix aux 5 axes du considérant 82.
Detecte les incohérences de proportionnalite (actif vital sans MFA, ou inversement contrôles disproportionnes sur des actifs non critiques qui consomment du budget pour rien).
Genere une matrice PDF horodatee, signee numeriquement, prete a deposer en cas d'inspection ILR pour démontrer la démarché de proportionnalite article 21.
Reevalue automatiquement la matrice chaque trimestre en absorbant les nouveaux rapports ENISA, les incidents declares au CSIRT et l'évolution de votre périmètre.
Alerte par Teams ou email des qu'un nouveau service Azure ou AWS deploye change votre profil de risque et requiert une mise à jour de la matrice.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 82

Ils nous font confiance

Avant de discuter