Je dois mettre mon organisation luxembourgeoise en conformité au considérant 90 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueCe considérant eclaire l'article 22 NIS 2 sur les évaluations coordonnees des risques de la chaîne d'approvisionnement. Le piège que l'ILR identifiera lors d'inspections : les entités essentielles et importantes raisonnent encore fournisseur par fournisseur, sans cartographier les dependances critiques sectorielles (cloud unique, editeur dominant, equipementier extra-UE) ni les facteurs non techniques evoques ici (influence d'un pays tiers, verrouillage technologique, modèles de gouvernance alternatifs). Les guides ENISA sur la 5G et sur la chaîne d'approvisionnement ICT servent deja de référence d'inspection, et l'absence d'analyse documentee des single points of failure est un constat de non-conformite frequent.Ce que le considérant 90 impose concretement a votre analyse de risqueIdentifier, secteur par secteur, vos services, systèmes et produits TIC critiques (pas seulement les fournisseurs, mais les briques technologiques).Documenter les single points of failure : un seul hyperscaler, un seul editeur SIEM, un seul integrateur sur l'OT.Intégrer les facteurs non techniques : nationalite du capital, juridiction extraterritoriale applicable (CLOUD Act, loi chinoise sur le renseignement national), structure d'actionnariat, presence de backdoors documentees par les CSIRT.Aligner votre analyse sur les évaluations coordonnees publiees par le Groupe de cooperation et l'ENISA (5G toolbox, cloud, MSP, MSSP à venir).Prévoir des plans d'attenuation concrets : stratégie multi-cloud, clause de reversibilite, exit plan teste, fournisseur de secours qualifié.Reevaluer en cas de changement d'actionnariat ou de juridiction du fournisseur (rachat, delocalisation du support, migration de datacenter).Comment Luxgap automatise ce risqueNotre Luxgap Supply Chain Geopolitics Radar transforme l'exigence abstraite du considérant 90 en une cartographie vivante des dependances technologiques critiques, enrichie en continu des facteurs non techniques que personne ne suit a la main. L'outil croise vos contrats fournisseurs Odoo ou SAP Ariba, vos flux financiers, vos logs Microsoft Defender for Cloud Apps et vos inventaires CMDB pour reconstituer la chaîne technologique reelle, puis l'enrichit avec les registres de beneficiaires effectifs (RBE Luxembourg, transparency registers UE), les alertes ENISA, les toolbox du Groupe de cooperation et les bulletins des CSIRT nationaux.Reconstitue automatiquement votre arbre de dependances TIC sectorielles (cloud, telecom, OT, identité, SIEM) à partir des integrations connectees, sans questionnaire fournisseur.Detecte les single points of failure par croisement : un même editeur derrière trois briques apparemment distinctes, un même hyperscaler hébergé par tous vos SaaS critiques.Enrichit chaque fournisseur avec son actionnariat ultime, sa juridiction de droit applicable et son exposition aux lois extraterritoriales (CLOUD Act, NSL, loi sur le renseignement national 2017).Alerte en temps reel sur tout changement de...

Considérant 90 NIS 2 — Considérant 90

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 90

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(90)

Afin de mieux répondre aux risques principaux liés aux chaînes d’approvisionnement et d’aider les entités essentielles et importantes actives dans les secteurs couverts par la présente directive à bien gérer les risques liés aux chaînes d’approvisionnement et aux fournisseurs, le groupe de coopération devrait, en collaboration avec la Commission et l’ENISA et, s’il y a lieu, en consultation avec les parties prenantes concernées, y compris celles du secteur, réaliser des évaluations coordonnées des risques pour la sécurité liés aux chaînes d’approvisionnement critiques, comme cela a été le cas pour les réseaux 5G suite à la recommandation (UE) 2019/534 de la Commission (19), dans le but de déterminer, secteur par secteur, les services TIC, systèmes TIC ou produits TIC critiques, et les menaces et vulnérabilités pertinentes. Ces évaluations coordonnées des risques pour la sécurité devraient recenser les mesures, les plans d’atténuation et les meilleures pratiques contre les dépendances critiques, les éventuels points uniques de défaillance, les menaces, les vulnérabilités et d’autres risques associés à la chaîne d’approvisionnement et devraient étudier les moyens d’encourager leur adoption plus large par les entités essentielles et importantes. Les éventuels facteurs de risque non techniques, tels que l’influence injustifiée d’un pays tiers sur des fournisseurs et prestataires de services, en particulier dans le cas d’autres modèles de gouvernance, peuvent être des vulnérabilités cachées ou des portes dérobées ou encore d’éventuelles ruptures d’approvisionnement systémiques, en particulier en cas de verrouillage technologique ou de dépendance à l’égard de fournisseurs.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente qui exploite ces évaluations coordonnees du Groupe de cooperation pour qualifier les operateurs essentiels et importants au sens de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee le 28 juillet 2025). Pour les entités du secteur financier, la CSSF applique en parallele le cadre DORA et ses RTS sur les risques tiers TIC, ce qui cree une obligation cumulative d'analyse de la chaîne d'approvisionnement.

Pratique Luxgap : nous mappons votre registre de fournisseurs TIC critiques sur les deux grilles (ILR/NIS 2 et CSSF/DORA si applicable) et integrons les spécificités luxembourgeoises (dependance forte aux hebergeurs Tier IV nationaux, concentration sur quelques integrateurs locaux) dans le radar geopolitique.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Ce considérant eclaire l'article 22 NIS 2 sur les évaluations coordonnees des risques de la chaîne d'approvisionnement. Le piège que l'ILR identifiera lors d'inspections : les entités essentielles et importantes raisonnent encore fournisseur par fournisseur, sans cartographier les dependances critiques sectorielles (cloud unique, editeur dominant, equipementier extra-UE) ni les facteurs non techniques evoques ici (influence d'un pays tiers, verrouillage technologique, modèles de gouvernance alternatifs). Les guides ENISA sur la 5G et sur la chaîne d'approvisionnement ICT servent deja de référence d'inspection, et l'absence d'analyse documentee des single points of failure est un constat de non-conformite frequent.

Ce que le considérant 90 impose concretement a votre analyse de risque

Identifier, secteur par secteur, vos services, systèmes et produits TIC critiques (pas seulement les fournisseurs, mais les briques technologiques).
Documenter les single points of failure : un seul hyperscaler, un seul editeur SIEM, un seul integrateur sur l'OT.
Intégrer les facteurs non techniques : nationalite du capital, juridiction extraterritoriale applicable (CLOUD Act, loi chinoise sur le renseignement national), structure d'actionnariat, presence de backdoors documentees par les CSIRT.
Aligner votre analyse sur les évaluations coordonnees publiees par le Groupe de cooperation et l'ENISA (5G toolbox, cloud, MSP, MSSP à venir).
Prévoir des plans d'attenuation concrets : stratégie multi-cloud, clause de reversibilite, exit plan teste, fournisseur de secours qualifié.
Reevaluer en cas de changement d'actionnariat ou de juridiction du fournisseur (rachat, delocalisation du support, migration de datacenter).

Comment Luxgap automatise ce risque

Notre Luxgap Supply Chain Geopolitics Radar transforme l'exigence abstraite du considérant 90 en une cartographie vivante des dependances technologiques critiques, enrichie en continu des facteurs non techniques que personne ne suit a la main. L'outil croise vos contrats fournisseurs Odoo ou SAP Ariba, vos flux financiers, vos logs Microsoft Defender for Cloud Apps et vos inventaires CMDB pour reconstituer la chaîne technologique reelle, puis l'enrichit avec les registres de beneficiaires effectifs (RBE Luxembourg, transparency registers UE), les alertes ENISA, les toolbox du Groupe de cooperation et les bulletins des CSIRT nationaux.

Reconstitue automatiquement votre arbre de dependances TIC sectorielles (cloud, telecom, OT, identité, SIEM) à partir des integrations connectees, sans questionnaire fournisseur.
Detecte les single points of failure par croisement : un même editeur derrière trois briques apparemment distinctes, un même hyperscaler hébergé par tous vos SaaS critiques.
Enrichit chaque fournisseur avec son actionnariat ultime, sa juridiction de droit applicable et son exposition aux lois extraterritoriales (CLOUD Act, NSL, loi sur le renseignement national 2017).
Alerte en temps reel sur tout changement de gouvernance (rachat, fusion, sanctions UE, ajout a la liste entités a risque ENISA).
Genere les plans d'attenuation alignes sur les évaluations coordonnees publiees (5G toolbox, cloud security toolbox à venir), avec stratégie d'exit chiffree et fournisseur de secours qualifié.
Produit un rapport PDF horodate opposable a l'ILR demontrant l'analyse des risques chaîne d'approvisionnement exigee par l'article 21(2)(d) et eclairee par le considérant 90.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration et nos équipes realisent un scan gratuit sous 48h de vos dix dependances TIC les plus critiques pour materialiser votre exposition geopolitique avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 90

Ils nous font confiance

Avant de discuter