Je dois mettre mon organisation luxembourgeoise en conformité au considérant 84 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 84 annonce un acte d'exécution européen qui harmonise les mesures de cybersécurité pour les fournisseurs transfrontaliers (DNS, TLD, cloud, datacenters, CDN, MSP, MSSP, marketplaces, moteurs de recherché, réseaux sociaux, services de confiance). En pratique, l'ILR ne vous laissera pas appliquer votre propre interprétation locale de l'article 21 : il appliquera le Règlement d'exécution (UE) 2024/2690 du 17 octobre 2024 qui fixe les exigences techniques précisés. Le piège ? Beaucoup d'entités cloud ou MSP luxembourgeoises ont batie leur conformité sur la grille ANSSI ou ISO 27001 générique, sans mapper finement les 13 domaines techniques imposes par l'acte d'exécution.Ce que l'acte d'exécution 2024/2690 impose concretementPolitique de sécurité des systèmes d'information avec rôles et responsabilités nommement attribues, revue annuelle obligatoire.Gestion des incidents avec procédures de détection, classification et réponse alignees sur les seuils déclencheurs de notification.Continuite d'activité et gestion des sauvegardes avec tests de restauration documentes.Sécurité de la chaîne d'approvisionnement avec évaluation des sous-traitants critiques (cloud-sur-cloud, hyperscalers en cascade).Securisation de l'acquisition, du développement et de la maintenance des SI (SDLC, gestion des vulnerabilites, patch management).Politiques d'évaluation de l'efficacite : metriques, indicateurs, tests d'intrusion.Hygiene cyber de base et formation continue du personnel.Cryptographie : politique de gestion des clés, algorithmes autorises.Sécurité des ressources humaines, contrôle d'accès et gestion des actifs.Authentification multifacteur et communications sécurisées (voix, vidéo, texte).Si vous êtes fournisseur cloud ou MSP base au Luxembourg (eBRC, LuxConnect, Telindus, POST Cyberforce et leurs clients hebergeurs), votre conformité NIS 2 sera evaluee sur cette grille très précisé, pas sur une auto-declaration ISO 27001.Comment Luxgap automatise ce risqueNotre Luxgap Implementing Act Mapper transforme les 13 exigences du Règlement d'exécution 2024/2690 en un score de conformité vivant, calcule en temps reel sur votre infrastructure cloud/MSP reelle. L'outil croise vos consoles Azure, AWS, GCP, Defender XDR, CrowdStrike, Wazuh, Active Directory et vos contrats sous-traitants pour materialiser exactement quelles exigences techniques sont couvertes, partiellement couvertes ou absentes, sans demander au RSSI de remplir un seul questionnaire Excel.Scanne automatiquement vos tenants cloud et detecte la conformité a chacune des 13 exigences du Règlement 2024/2690 (MFA, chiffrement, journalisation, sauvegardes testees, segmentation).Classifie chaque ecart selon la gravité et propose le plan de remédiation chiffre en jours-homme avec priorité ILR.Genere un dossier technique opposable a l'ILR lors d'une inspection, mappant chaque contrôle a son article du Règlement d'exécution et a sa preuve technique (extract Sentinel, rapport pentest, lo...

Considérant 84 NIS 2 — Considérant 84

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 84

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(84)

Compte tenu de leur nature transfrontière, les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les fournisseurs de services d’informatique en nuage, les fournisseurs de services de centre de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés, les fournisseurs de places de marché en ligne, de moteurs de recherche en ligne et de plateformes de services de réseaux sociaux, ainsi que les fournisseurs de services de confiance devraient faire l’objet d’un degré d’harmonisation élevé au niveau de l’Union. La mise en œuvre de mesures de gestion des risques en matière de cybersécurité à l’égard de ces entités devrait donc être facilitée par un acte d’exécution.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité competente pour les fournisseurs vises au considérant 84, y compris les acteurs majeurs du cloud et des datacenters luxembourgeois (eBRC, LuxConnect, POST). La loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025, renvoie directement aux actes d'exécution européens pour le contenu technique des mesures, ce qui rend le Règlement d'exécution 2024/2690 immediatement opposable lors d'une inspection ILR.

Pratique Luxgap : si vous êtes hebergeur ou MSP luxembourgeois, ne presentez jamais a l'ILR une simple certification ISO 27001 ; preparez un mapping ligne a ligne du Règlement 2024/2690 avec preuves techniques horodatees, c'est ce que l'ILR demande en inspection.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 84 annonce un acte d'exécution européen qui harmonise les mesures de cybersécurité pour les fournisseurs transfrontaliers (DNS, TLD, cloud, datacenters, CDN, MSP, MSSP, marketplaces, moteurs de recherché, réseaux sociaux, services de confiance). En pratique, l'ILR ne vous laissera pas appliquer votre propre interprétation locale de l'article 21 : il appliquera le Règlement d'exécution (UE) 2024/2690 du 17 octobre 2024 qui fixe les exigences techniques précisés. Le piège ? Beaucoup d'entités cloud ou MSP luxembourgeoises ont batie leur conformité sur la grille ANSSI ou ISO 27001 générique, sans mapper finement les 13 domaines techniques imposes par l'acte d'exécution.

Ce que l'acte d'exécution 2024/2690 impose concretement

Politique de sécurité des systèmes d'information avec rôles et responsabilités nommement attribues, revue annuelle obligatoire.
Gestion des incidents avec procédures de détection, classification et réponse alignees sur les seuils déclencheurs de notification.
Continuite d'activité et gestion des sauvegardes avec tests de restauration documentes.
Sécurité de la chaîne d'approvisionnement avec évaluation des sous-traitants critiques (cloud-sur-cloud, hyperscalers en cascade).
Securisation de l'acquisition, du développement et de la maintenance des SI (SDLC, gestion des vulnerabilites, patch management).
Politiques d'évaluation de l'efficacite : metriques, indicateurs, tests d'intrusion.
Hygiene cyber de base et formation continue du personnel.
Cryptographie : politique de gestion des clés, algorithmes autorises.
Sécurité des ressources humaines, contrôle d'accès et gestion des actifs.
Authentification multifacteur et communications sécurisées (voix, vidéo, texte).

Si vous êtes fournisseur cloud ou MSP base au Luxembourg (eBRC, LuxConnect, Telindus, POST Cyberforce et leurs clients hebergeurs), votre conformité NIS 2 sera evaluee sur cette grille très précisé, pas sur une auto-declaration ISO 27001.

Comment Luxgap automatise ce risque

Notre Luxgap Implementing Act Mapper transforme les 13 exigences du Règlement d'exécution 2024/2690 en un score de conformité vivant, calcule en temps reel sur votre infrastructure cloud/MSP reelle. L'outil croise vos consoles Azure, AWS, GCP, Defender XDR, CrowdStrike, Wazuh, Active Directory et vos contrats sous-traitants pour materialiser exactement quelles exigences techniques sont couvertes, partiellement couvertes ou absentes, sans demander au RSSI de remplir un seul questionnaire Excel.

Scanne automatiquement vos tenants cloud et detecte la conformité a chacune des 13 exigences du Règlement 2024/2690 (MFA, chiffrement, journalisation, sauvegardes testees, segmentation).
Classifie chaque ecart selon la gravité et propose le plan de remédiation chiffre en jours-homme avec priorité ILR.
Genere un dossier technique opposable a l'ILR lors d'une inspection, mappant chaque contrôle a son article du Règlement d'exécution et a sa preuve technique (extract Sentinel, rapport pentest, log d'audit AD).
Alerte instantanement sur Teams ou Slack des qu'un contrôle critique devie (MFA desactivee sur un compte admin, chiffrement TLS 1.0 reapparu, sauvegarde non testee depuis 90 jours).
Suit la chaîne d'externalisation cloud-sur-cloud et flag les hyperscalers US non couverts par DPF, exigence remontee dans la catégorie supply chain de l'acte d'exécution.
Produit un rapport PDF horodate signe cryptographiquement, opposable a l'ILR et reutilisable en due diligence client B2B.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre infrastructure reelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition aux 13 exigences techniques avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 84

Ils nous font confiance

Avant de discuter