Je dois mettre mon organisation luxembourgeoise en conformité au considérant 83 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 83 NIS 2 — Considérant 83

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 83

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(83)

Les entités essentielles et importantes devraient garantir la sécurité des réseaux et des systèmes d’information qu’elles utilisent dans le cadre de leurs activités. Il s’agit principalement de réseaux et de systèmes d’information privés qui sont gérés par les services informatiques des entités essentielles ou importantes ou dont la gestion de la sécurité a été sous-traitée. Les mesures de gestion des risques en matière de cybersécurité et les obligations d’information prévues par la présente directive devraient s’appliquer aux entités essentielles et importantes, indépendamment du fait que ces entités effectuent la maintenance de leurs réseaux et systèmes d’information en interne ou qu’elles l’externalisent.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, confirme que l'entité essentielle ou importante désignée par l'ILR reste seule responsable au sens de NIS 2, même si son SI est exploite par un prestataire luxembourgeois (eBRC, LuxConnect, POST Telecom, Proximus Luxembourg) ou européen. L'ILR mene ses inspections directement chez l'entité réglementée et peut exiger la production des contrats MSP et des preuves d'exécution des mesures article 21 sur le périmètre externalisé.

Pratique Luxgap : avant toute renegociation MSP, nous realisons un audit de gap contractuel NIS 2 sur vos contrats existants et fournissons un addendum-type aligne sur les attentes de l'ILR, pret a intégrer en avenant sans rouvrir l'intégralité du contrat-cadre.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Beaucoup d'entités essentielles et importantes pensent échapper a NIS 2 parce qu'elles ont externalisé leur SI a un MSP, un hebergeur ou un integrateur. Le considérant 83 ferme cette porté de sortie : la responsabilité NIS 2 reste sur l'entité réglementée, peu importe qui exploite techniquement les serveurs. L'ILR sanctionné l'entité désignée, pas son prestataire, et exige la preuve que les mesures de gestion des risques s'appliquent au périmètre complet, y compris la partie sous-traitee.

Le test 'périmètre reel' : ce que l'ILR cherche en inspection

La cartographie des systèmes inclut-elle les actifs hébergés chez le MSP, dans le cloud public et chez les sous-traitants techniques ?
Les clauses contractuelles avec le prestataire IT imposent-elles les mêmes exigences NIS 2 (article 21) que celles applicables a l'entité ?
Le prestataire fournit-il des preuves régulières (rapports SOC 2, scans, logs) que vous pouvez presenter a l'ILR ?
La chaîne de notification d'incident (article 23) est-elle contractualisee pour que le MSP vous alerte sous un délai compatible avec les 24h d'alerte précoce ?
Le RACI cybersécurité distingue-t-il clairement ce que fait le prestataire de ce qui reste sous votre responsabilité directe ?
Disposez-vous d'un droit d'audit opposable sur le prestataire, exerce au moins une fois par an ?

Le piège le plus frequent : un contrat MSP signe il y a 5 ans qui mentionné vaguement 'sécurité conforme aux standards du marché', sans aucune clause NIS 2, sans SLA d'incident, sans droit d'audit. Devant l'ILR, c'est une faute caracterisee de l'entité, pas du prestataire.

Comment Luxgap automatise ce risque

Notre Luxgap Outsourced Perimeter Mapper rend impossible l'angle mort du SI externalisé en reconstituant, sans déclaratif, la totalite de votre périmètre cyber reel, y compris ce que vous avez confie a vos MSP, hebergeurs et integrateurs. L'outil croise vos factures fournisseurs Odoo ou SAP, vos flux DNS sortants, vos tenants M365 et Azure, vos comptes AWS et vos logs Defender pour materialiser la chaîne d'exploitation complète, et confronte ce périmètre aux clauses NIS 2 effectivement signees avec chaque prestataire.

Detecte automatiquement chaque prestataire IT actif via les paiements récurrents, les accès federes Azure AD et les flux réseau sortants vers des ASN tiers.
Compare chaque contrat MSP aux 10 mesures de l'article 21 et liste les clauses manquantes (notification 24h, droit d'audit, sous-traitance en cascade, chiffrement, MFA).
Vérifié en continu la validité des certifications ISO 27001, SOC 2 et des attestations cyber de chaque prestataire, avec alerte 90 jours avant expiration.
Genere un addendum NIS 2 prerempli, opposable juridiquement, a faire signer aux prestataires non conformes.
Produit un rapport PDF horodate, cryptographiquement scelle, qui démontré a l'ILR que votre périmètre externalisé est gouverne au même niveau que votre SI interne.
Alerte instantanement sur Teams ou Slack des qu'un nouveau prestataire IT apparait dans vos systèmes sans contrat NIS 2 signe.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos prestataires reels, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre votre périmètre contractuel et votre périmètre cyber reel.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 83

Ils nous font confiance

Avant de discuter