Je dois mettre mon organisation luxembourgeoise en conformité au considérant 86 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 86 cible un angle mort majeur : les Managed Security Service Providers (MSSP) qui realisent vos pentests, votre SOC, votre réponse a incident ou vos audits sont eux-memes des cibles privilegiees, et leur accès privilégié a vos systèmes en fait des vecteurs d'attaque rares mais devastateurs (cas Kaseya, SolarWinds, CrowdStrike juillet 2024). L'ILR attend des entités essentielles et importantes une diligence renforcee sur ces fournisseurs, au-dela de la diligence article 21(2)(d) standard sur la supply chain. En clair : un MSSP traite comme un prestataire IT lambda devient une circonstance aggravante en cas d'incident.Le standard de diligence renforcee pour un MSSPConcretement, l'ILR et l'ENISA attendent une évaluation qui depasse le questionnaire fournisseur classique. Les critères incontournables :Certifications opposables : ISO 27001 sur le périmètre du service vendu (pas le siège social), SOC 2 Type II récent, idéalement ENISA EUCS quand disponible, PASSI pour les pentests.Cloisonnement technique : comptes nominatifs avec MFA matériel, bastion dedie, journalisation cote client, rotation des secrets, principe du moindre privilège documente.Transparence sur leur propre posture : dernière date de pentest sur leur SI, politique de divulgation des incidents les concernant, assurance cyber.Localisation des opérations : SOC opère depuis l'UE ou pays adequat, pas de sous-traitance vers des juridictions a risque sans encadrement.Clauses contractuelles : notification d'incident sous 24h vers vous (pour vous permettre votre propre notification 24h ILR), droit d'audit, reversibilite, plan de sortie.Vérification de la chaîne de sous-traitance : qui sont LEURS sous-traitants critiques (cloud, EDR, threat intel) et quelle est leur propre conformité NIS 2.Le piège spécifique au marché luxembourgeoisLe marché cyber luxembourgeois est très concentre : quelques MSSP locaux desservent une part importante des banques, fonds et industries du pays. Cette concentration cree un risque systemique reconnu par l'ILR. Une concentration excessive sur un seul MSSP devient elle-meme un risque a documenter dans votre analyse article 21.Comment Luxgap automatise ce risqueNotre Luxgap MSSP Trust Radar transforme la selection et la surveillance continue de vos prestataires de sécurité en évaluation opposable, alignee sur le standard de diligence renforcee du considérant 86. L'outil agrege en continu les signaux publics et contractuels sur chaque MSSP de votre chaîne (statut des certifications, historique d'incidents publics via HIBP et bulletins ENISA, alertes CERT, expirations contractuelles) et produit un score de risque dedie, distinct de la grille fournisseur générique.Collecte automatiquement le périmètre de certification ISO 27001 et SOC 2 de chaque MSSP via leur portail trust et alerte si le service que vous achetez n'est pas couvert.Detecte en temps reel toute mention publique d'incident touchant vos MSSP (CERT-EU, CISA, bulletins ENISA...

Considérant 86 NIS 2 — Considérant 86

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 86

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(86)

Parmi tous les fournisseurs de services, les fournisseurs de services de sécurité gérés dans des domaines comme la réaction aux incidents, les tests d’intrusion, les audits de sécurité et le conseil jouent un rôle particulièrement important s’agissant de soutenir les efforts mis en œuvre par les entités pour prévenir et détecter les incidents, y réagir ou se rétablir après ceux-ci. Toutefois, des fournisseurs de services de sécurité gérés ont été eux-mêmes la cible de cyberattaques et, du fait de leur grande intégration dans les activités des opérateurs, ils représentent un risque particulier. Les entités essentielles et importantes doivent donc faire preuve d’une diligence renforcée lorsqu’elles sélectionnent leurs fournisseurs de services de sécurité gérés.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente pour les notifications d'incident et les inspections NIS 2, sous la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). Le marché MSSP luxembourgeois etant très concentre autour d'acteurs comme POST Cyberforce, eBRC, Excellium (Thales), Telindus et quelques boutiques spécialisées, l'ILR est particulièrement sensible au risque de concentration : une defaillance simultanee chez un MSSP majeur impacterait une fraction significative du tissu economique national. Documenter le choix d'un MSSP unique sans analyse de cette concentration est une lacune classique en inspection.

Pratique Luxgap : pour chaque entité essentielle ou importante, nous produisons une cartographie de la concentration MSSP au niveau du groupe et un plan B technique (deuxieme prestataire pre-qualifie, capacite interne de bascule) documente dans le dossier ILR, ce qui ferme le sujet en cas de question lors d'une inspection.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 86 cible un angle mort majeur : les Managed Security Service Providers (MSSP) qui realisent vos pentests, votre SOC, votre réponse a incident ou vos audits sont eux-memes des cibles privilegiees, et leur accès privilégié a vos systèmes en fait des vecteurs d'attaque rares mais devastateurs (cas Kaseya, SolarWinds, CrowdStrike juillet 2024). L'ILR attend des entités essentielles et importantes une diligence renforcee sur ces fournisseurs, au-dela de la diligence article 21(2)(d) standard sur la supply chain. En clair : un MSSP traite comme un prestataire IT lambda devient une circonstance aggravante en cas d'incident.

Le standard de diligence renforcee pour un MSSP

Concretement, l'ILR et l'ENISA attendent une évaluation qui depasse le questionnaire fournisseur classique. Les critères incontournables :

Certifications opposables : ISO 27001 sur le périmètre du service vendu (pas le siège social), SOC 2 Type II récent, idéalement ENISA EUCS quand disponible, PASSI pour les pentests.
Cloisonnement technique : comptes nominatifs avec MFA matériel, bastion dedie, journalisation cote client, rotation des secrets, principe du moindre privilège documente.
Transparence sur leur propre posture : dernière date de pentest sur leur SI, politique de divulgation des incidents les concernant, assurance cyber.
Localisation des opérations : SOC opère depuis l'UE ou pays adequat, pas de sous-traitance vers des juridictions a risque sans encadrement.
Clauses contractuelles : notification d'incident sous 24h vers vous (pour vous permettre votre propre notification 24h ILR), droit d'audit, reversibilite, plan de sortie.
Vérification de la chaîne de sous-traitance : qui sont LEURS sous-traitants critiques (cloud, EDR, threat intel) et quelle est leur propre conformité NIS 2.

Le piège spécifique au marché luxembourgeois

Le marché cyber luxembourgeois est très concentre : quelques MSSP locaux desservent une part importante des banques, fonds et industries du pays. Cette concentration cree un risque systemique reconnu par l'ILR. Une concentration excessive sur un seul MSSP devient elle-meme un risque a documenter dans votre analyse article 21.

Comment Luxgap automatise ce risque

Notre Luxgap MSSP Trust Radar transforme la selection et la surveillance continue de vos prestataires de sécurité en évaluation opposable, alignee sur le standard de diligence renforcee du considérant 86. L'outil agrege en continu les signaux publics et contractuels sur chaque MSSP de votre chaîne (statut des certifications, historique d'incidents publics via HIBP et bulletins ENISA, alertes CERT, expirations contractuelles) et produit un score de risque dedie, distinct de la grille fournisseur générique.

Collecte automatiquement le périmètre de certification ISO 27001 et SOC 2 de chaque MSSP via leur portail trust et alerte si le service que vous achetez n'est pas couvert.
Detecte en temps reel toute mention publique d'incident touchant vos MSSP (CERT-EU, CISA, bulletins ENISA, sources OSINT) et déclenche une revue de risque sous 48h.
Genere une matrice de concentration qui visualise la dependance reelle de votre groupe a chaque MSSP, ponderee par criticite de service, pour documenter le risque systemique exige par l'ILR.
Pre-remplit un questionnaire de diligence renforcee aligne ENISA et CSA STAR, avec scoring automatique des réponses et flag des clauses contractuelles manquantes.
Produit un dossier PDF horodate par MSSP, opposable lors d'une inspection ILR, qui démontré la diligence renforcee article 21 et considérant 86.
Surveille la chaîne de sous-traitance declaree (cloud du SOC, EDR utilise, threat intel feeds) et alerte sur les ruptures de couverture NIS 2.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes preparent un audit blanc gratuit sous 48h de votre portefeuille MSSP actuel, avec scoring de concentration et identification des clauses manquantes avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 86

Ils nous font confiance

Avant de discuter