Je dois mettre mon organisation luxembourgeoise en conformité au considérant 87 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 87 ouvre une porté souvent ignoree : l'ILR et ses experts mandates peuvent commander des audits, des tests d'intrusion ou des exercices de réponse a incident dans le cadre de leur supervision. Concretement, une entité essentielle ou importante peut se voir imposer un pentest contradictoire mene par un prestataire choisi par l'autorité, qui decouvrira tout ce que vos audits internes n'ont pas vu. Les organisations qui n'ont jamais subi de test d'intrusion externe credible decouvrent alors, en situation réglementaire, un differentiel embarrassant entre leur déclaratif ISO 27001 et la réalité technique.Pourquoi ce considérant change la posture defensiveUn audit de supervision n'est pas un audit de complaisance. L'expert mandate cherche les faiblesses reelles : Active Directory mal segmente, comptes de service avec mots de passe expires depuis 2019, NAS exposé en SMBv1, EDR non deploye sur les machines de la DSI elle-meme. Trois reflexes a anticiper :Réaliser un pentest annuel offensif mene par un prestataire externe (pas votre integrateur habituel), avec scénarios red team incluant phishing et compromission AD.Maintenir une cartographie à jour des actifs exposes (DNS, sous-domaines oublies, environnements de recette publics, buckets S3 mal configures) car l'ILR commencera par la.Documenter les plans de remédiation post-audit avec preuves de cloture, car un finding non remedié d'un audit précédent devient une circonstance aggravante.Comment Luxgap automatise ce risqueNotre Luxgap Adversary Simulation Engine reproduit en continu les techniques offensives que mobiliseront les auditeurs mandates par l'ILR, pour que vous decouvriez vos failles avant eux et non pendant l'inspection. La plateforme orchestre des scénarios d'attaque automatises calques sur MITRE ATT&CK, executes chaque semaine sur votre périmètre reel via des agents legers connectes a Microsoft Defender, Azure Sentinel, CrowdStrike et Wazuh, sans interrompre la production.Scanne en continu votre surface d'attaque externe (sous-domaines, certificats, ports exposes, fuites HIBP) et alerte instantanement sur tout nouvel actif decouvert que votre cartographie ignore.Execute des campagnes de phishing simulees ciblees sur vos populations a risque (direction, finance, IT admins) avec calcul du taux de clic et formation immediate des collaborateurs piegés.Teste mensuellement la résistance d'Active Directory aux attaques Kerberoasting, AS-REP Roasting, DCSync et detecte les chemins d'attaque vers les comptes Tier 0 via une logique BloodHound intégrée.Genere un rapport PDF horodate signe cryptographiquement, opposable a l'ILR, qui démontré la réalisation d'audits offensifs réguliers conformes au considérant 87 et a l'article 21 NIS 2.Produit un score de maturite defensive évolutif et un plan de remédiation priorisé par criticite, avec ticketing automatique vers Jira ou ServiceNow.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre p...

Considérant 87 NIS 2 — Considérant 87

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 87

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(87)	Les autorités compétentes, dans le cadre de leurs tâches de supervision, peuvent également bénéficier de services de cybersécurité, par exemple des audits de sécurité et des tests d’intrusion ou de réaction en cas d’incident.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente désignée par la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) pour mener les inspections et mandater des audits techniques, tests d'intrusion ou exercices de réponse a incident sur les entités essentielles et importantes. L'ILR peut faire appel a des prestataires qualifiés (notamment les PASSI reconnus ou prestataires certifies ENISA) dont les frais sont a la charge de l'entité controlee.

Pratique Luxgap : preparez un dossier d'audit pre-constitue (cartographie, derniers rapports de pentest, plans de remédiation, registre des incidents) afin de reduire le périmètre et la durée d'une eventuelle mission mandatee par l'ILR, et donc son cout refacture.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 87 ouvre une porté souvent ignoree : l'ILR et ses experts mandates peuvent commander des audits, des tests d'intrusion ou des exercices de réponse a incident dans le cadre de leur supervision. Concretement, une entité essentielle ou importante peut se voir imposer un pentest contradictoire mene par un prestataire choisi par l'autorité, qui decouvrira tout ce que vos audits internes n'ont pas vu. Les organisations qui n'ont jamais subi de test d'intrusion externe credible decouvrent alors, en situation réglementaire, un differentiel embarrassant entre leur déclaratif ISO 27001 et la réalité technique.

Pourquoi ce considérant change la posture defensive

Un audit de supervision n'est pas un audit de complaisance. L'expert mandate cherche les faiblesses reelles : Active Directory mal segmente, comptes de service avec mots de passe expires depuis 2019, NAS exposé en SMBv1, EDR non deploye sur les machines de la DSI elle-meme. Trois reflexes a anticiper :

Réaliser un pentest annuel offensif mene par un prestataire externe (pas votre integrateur habituel), avec scénarios red team incluant phishing et compromission AD.
Maintenir une cartographie à jour des actifs exposes (DNS, sous-domaines oublies, environnements de recette publics, buckets S3 mal configures) car l'ILR commencera par la.
Documenter les plans de remédiation post-audit avec preuves de cloture, car un finding non remedié d'un audit précédent devient une circonstance aggravante.

Comment Luxgap automatise ce risque

Notre Luxgap Adversary Simulation Engine reproduit en continu les techniques offensives que mobiliseront les auditeurs mandates par l'ILR, pour que vous decouvriez vos failles avant eux et non pendant l'inspection. La plateforme orchestre des scénarios d'attaque automatises calques sur MITRE ATT&CK, executes chaque semaine sur votre périmètre reel via des agents legers connectes a Microsoft Defender, Azure Sentinel, CrowdStrike et Wazuh, sans interrompre la production.

Scanne en continu votre surface d'attaque externe (sous-domaines, certificats, ports exposes, fuites HIBP) et alerte instantanement sur tout nouvel actif decouvert que votre cartographie ignore.
Execute des campagnes de phishing simulees ciblees sur vos populations a risque (direction, finance, IT admins) avec calcul du taux de clic et formation immediate des collaborateurs piegés.
Teste mensuellement la résistance d'Active Directory aux attaques Kerberoasting, AS-REP Roasting, DCSync et detecte les chemins d'attaque vers les comptes Tier 0 via une logique BloodHound intégrée.
Genere un rapport PDF horodate signe cryptographiquement, opposable a l'ILR, qui démontré la réalisation d'audits offensifs réguliers conformes au considérant 87 et a l'article 21 NIS 2.
Produit un score de maturite defensive évolutif et un plan de remédiation priorisé par criticite, avec ticketing automatique vers Jira ou ServiceNow.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez votre demonstration et nos équipes realisent un audit blanc gratuit sous 48h sur votre surface d'attaque externe, pour materialiser votre exposition reelle avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 87

Ils nous font confiance

Avant de discuter