Je dois mettre mon organisation luxembourgeoise en conformité au considérant 91 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 91 éclaire l'article 22 du NIS 2 sur les évaluations coordonnées des chaînes d'approvisionnement critiques. Le piège classique : les entités essentielles et importantes traitent leur cartographie fournisseurs comme un inventaire comptable statique, alors que l'ILR et le groupe de coopération attendent une analyse multidimensionnelle, incluant la dépendance, la criticité fonctionnelle, la résilience cycle de vie complet et les exigences extraterritoriales (CLOUD Act US, loi chinoise sur le renseignement). Une cartographie qui ignore les facteurs non techniques (juridiction du fournisseur, structure capitalistique, pression étatique) sera jugée insuffisante lors d'une inspection ILR.Les 5 critères du considérant 91 traduits en questions opérationnellesDépendance : quel pourcentage de vos fonctions critiques repose sur ce service TIC ? Existe-t-il un point de défaillance unique ?Criticité fonctionnelle : ce composant traite-t-il des données à caractère personnel, des secrets industriels ou pilote-t-il un processus métier vital ?Substituabilité : combien de temps et de coût pour basculer vers une alternative équivalente en cas de défaillance ou de sanction ?Résilience cycle de vie : le fournisseur publie-t-il des correctifs, gère-t-il sa propre chaîne logicielle (SBOM), a-t-il un plan de continuité opposable ?Exigences pays tiers : le fournisseur est-il soumis au CLOUD Act, à la loi chinoise sur le renseignement, à des sanctions OFAC qui pourraient interrompre le service ?Comment Luxgap automatise ce risqueNotre Luxgap Supply Chain Risk Radar transforme l'intention du considérant 91 en évaluation coordonnée, multifacteur et continue de votre chaîne d'approvisionnement TIC. L'outil ingère vos contrats Odoo ou SAP, vos flux Microsoft 365 et Azure, vos dépendances applicatives (SBOM CycloneDX) et croise ces données avec un référentiel géopolitique (juridictions, sanctions OFAC, capital étranger, certifications expirées) pour produire un score de risque par fournisseur conforme aux 5 critères du considérant 91.Détecte automatiquement chaque service TIC critique en analysant vos flux financiers, vos comptes Active Directory fédérés et vos appels API sortants, sans déclaratif manuel.Classifie chaque fournisseur selon la grille à 5 critères du considérant 91 et la boîte à outils 5G du groupe de coopération, avec score pondéré par secteur (énergie, santé, finance, infrastructure numérique).Identifié les expositions extraterritoriales (CLOUD Act, loi chinoise sur le renseignement, sanctions UE et OFAC) et alerte sur Teams dès qu'un fournisseur change de structure capitalistique ou de juridiction.Calcule un indice de substituabilité par service en cartographiant les alternatives certifiées ENISA EUCS ou ISO 27001 disponibles sur le marché européen.Produit un rapport PDF horodaté opposable à l'ILR, aligné sur les critères du considérant 91 et de l'article 22, démontrant la conduite régulière d'évaluations coordonnées.Disponib...

Considérant 91 NIS 2 — Considérant 91

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 91

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(91)

Les évaluations coordonnées des risques pour la sécurité liés aux chaînes d’approvisionnement critiques, à la lumière des caractéristiques du secteur concerné, devraient tenir compte des facteurs techniques et, le cas échéant, non techniques, y compris ceux définis dans la recommandation (UE) 2019/534, dans l’évaluation coordonnée pour l’UE des risques concernant la cybersécurité des réseaux 5G et dans la boîte à outils de l’UE pour la cybersécurité 5G convenue par le groupe de coopération. Afin de déterminer quelles chaînes d’approvisionnement devraient être soumises à une évaluation coordonnée des risques pour la sécurité, il convient de tenir compte des critères suivants: i) la mesure dans laquelle les entités essentielles et importantes utilisent des services TIC, systèmes TIC ou produits TIC critiques spécifiques et en dépendent; ii) la pertinence des services TIC, systèmes TIC ou produits TIC critiques spécifiques pour la réalisation des fonctions sensibles ou critiques, y compris le traitement de données à caractère personnel; iii) la disponibilité d’autres services TIC, systèmes TIC ou produits TIC; iv) la résilience de la chaîne d’approvisionnement générale des services TIC, systèmes TIC ou produits TIC tout au long de leur cycle de vie face aux événements perturbateurs, et v) concernant les services TIC, systèmes TIC ou produits TIC émergents, leur potentielle importance à l’avenir pour les activités des entités. En outre, il convient d’accorder une attention particulière aux services TIC, systèmes TIC ou produits TIC soumis à des exigences spécifiques émanant de pays tiers.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025

Au Luxembourg, l'ILR (Institut Luxembourgeois de Régulation) est l'autorité nationale de cybersécurité qui participe au groupe de coopération NIS 2 et relaie les conclusions des évaluations coordonnées de la chaîne d'approvisionnement vers les entités essentielles et importantes désignées. La loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025, impose aux entités désignées d'intégrer les recommandations issues de ces évaluations coordonnées dans leur gestion des risques fournisseurs, avec un focus particulier sur les opérateurs cloud hébergeant des données financières (interaction avec la CSSF et DORA) et les infrastructures numériques hébergées chez eBRC, LuxConnect ou POST Telecom.

Pratique Luxgap : lors de chaque inspection ILR, démontrez que votre cartographie fournisseurs intègre explicitement les conclusions du groupe de coopération sur la 5G et les services cloud, et que vous réévaluez vos dépendances tous les 12 mois minimum, avec traçabilité horodatée.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 91 éclaire l'article 22 du NIS 2 sur les évaluations coordonnées des chaînes d'approvisionnement critiques. Le piège classique : les entités essentielles et importantes traitent leur cartographie fournisseurs comme un inventaire comptable statique, alors que l'ILR et le groupe de coopération attendent une analyse multidimensionnelle, incluant la dépendance, la criticité fonctionnelle, la résilience cycle de vie complet et les exigences extraterritoriales (CLOUD Act US, loi chinoise sur le renseignement). Une cartographie qui ignore les facteurs non techniques (juridiction du fournisseur, structure capitalistique, pression étatique) sera jugée insuffisante lors d'une inspection ILR.

Les 5 critères du considérant 91 traduits en questions opérationnelles

Dépendance : quel pourcentage de vos fonctions critiques repose sur ce service TIC ? Existe-t-il un point de défaillance unique ?
Criticité fonctionnelle : ce composant traite-t-il des données à caractère personnel, des secrets industriels ou pilote-t-il un processus métier vital ?
Substituabilité : combien de temps et de coût pour basculer vers une alternative équivalente en cas de défaillance ou de sanction ?
Résilience cycle de vie : le fournisseur publie-t-il des correctifs, gère-t-il sa propre chaîne logicielle (SBOM), a-t-il un plan de continuité opposable ?
Exigences pays tiers : le fournisseur est-il soumis au CLOUD Act, à la loi chinoise sur le renseignement, à des sanctions OFAC qui pourraient interrompre le service ?

Comment Luxgap automatise ce risque

Notre Luxgap Supply Chain Risk Radar transforme l'intention du considérant 91 en évaluation coordonnée, multifacteur et continue de votre chaîne d'approvisionnement TIC. L'outil ingère vos contrats Odoo ou SAP, vos flux Microsoft 365 et Azure, vos dépendances applicatives (SBOM CycloneDX) et croise ces données avec un référentiel géopolitique (juridictions, sanctions OFAC, capital étranger, certifications expirées) pour produire un score de risque par fournisseur conforme aux 5 critères du considérant 91.

Détecte automatiquement chaque service TIC critique en analysant vos flux financiers, vos comptes Active Directory fédérés et vos appels API sortants, sans déclaratif manuel.
Classifie chaque fournisseur selon la grille à 5 critères du considérant 91 et la boîte à outils 5G du groupe de coopération, avec score pondéré par secteur (énergie, santé, finance, infrastructure numérique).
Identifié les expositions extraterritoriales (CLOUD Act, loi chinoise sur le renseignement, sanctions UE et OFAC) et alerte sur Teams dès qu'un fournisseur change de structure capitalistique ou de juridiction.
Calcule un indice de substituabilité par service en cartographiant les alternatives certifiées ENISA EUCS ou ISO 27001 disponibles sur le marché européen.
Produit un rapport PDF horodaté opposable à l'ILR, aligné sur les critères du considérant 91 et de l'article 22, démontrant la conduite régulière d'évaluations coordonnées.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur votre chaîne d'approvisionnement réelle, avec un audit blanc gratuit sous 48h pour mesurer votre exposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 91

Ils nous font confiance

Avant de discuter