Je dois mettre mon organisation luxembourgeoise en conformité au considérant 92 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 92 acte une bascule fondamentale : les operateurs telecoms (anciennement sous l'article 40 du Code des communications électroniques européen) et les prestataires de services de confiance (anciennement sous l'article 19 d'eIDAS) basculent intégralement sous NIS 2. En pratique, l'ILR sanctionné les operateurs telecoms et eIDAS qui n'ont pas mis à jour leur cadre de conformité et continuent d'appliquer les anciens regimes : double notification mal calibree, CSIRT non désigné en interlocuteur, ou enregistrement manquant dans le registre NIS 2. La streamlining clause n'allege pas l'obligation, elle change l'autorité competente et le délai.Ce que ce considérant impose concretementLes fournisseurs de réseaux et services de communications électroniques publics sont des entités essentielles ou importantes sous NIS 2, plus sous la directive (UE) 2018/1972.Les prestataires de services de confiance (qualifiés ou non) sont des entités essentielles sous NIS 2, plus sous l'article 19 du règlement eIDAS 910/2014.Le CSIRT national devient l'interlocuteur unique de gestion d'incident, remplacant les canaux sectoriels telecoms / eIDAS preexistants.Les obligations RGPD (notification CNPD sous 72h pour les données personnelles) et ePrivacy restent cumulatives : une violation d'intégrité affectant des données client déclenche les deux regimes en parallele.Le registre des entités NIS 2 tenu par l'ENISA inclut desormais les telecoms et eIDAS : l'enregistrement est impératif.Le piège de la double notificationUn operateur telecom qui subit un incident affectant des données d'abonnes doit notifier : (1) le CSIRT national sous 24h puis 72h selon NIS 2, (2) la CNPD sous 72h selon le RGPD, (3) eventuellement les abonnes selon ePrivacy. Les délais et les contenus different. Sans matrice de notification preparee a froid, le risque est de rater un canal ou d'envoyer une information contradictoire entre autorités.Comment Luxgap automatise ce risqueNotre Luxgap Multi-Regime Incident Router elimine le risque de notification manquee ou contradictoire en orchestrant automatiquement les obligations parallelles NIS 2, RGPD, ePrivacy et eIDAS depuis un point d'entree unique. Des qu'un incident est declare dans votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon), l'outil calcule en moins de 60 secondes quelles autorités notifier, dans quels délais, avec quels contenus, et prepare les formulaires preremplis pour l'ILR, la CNPD et eventuellement les abonnes.Detecte le type d'incident depuis vos outils de détection et qualifié automatiquement le statut de l'entité (telecom, prestataire de confiance, entité essentielle générique).Calcule les délais légaux paralleles (24h ILR, 72h ILR, 72h CNPD, notification ePrivacy aux abonnes) et déclenche les rappels Teams ou Slack avant chaque echeance.Genere les formulaires de notification preremplis pour chaque autorité, avec coherence garantie entre les contenus (impossible d'envoyer un périmètre diff...

Considérant 92 NIS 2 — Considérant 92

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 92

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(92)

Afin de rationaliser les obligations imposées aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public et aux prestataires de services de confiance en lien avec la sécurité de leurs réseaux et systèmes d’information, ainsi que de permettre à ces entités et à leurs autorités compétentes en vertu de la directive (UE) 2018/1972 du Parlement européen et du Conseil (20) et du règlement (UE) no 910/2014, respectivement, de bénéficier du cadre juridique établi par la présente directive, y compris la désignation d’un CSIRT chargé de la gestion des incidents, la participation des autorités compétentes concernées aux activités du groupe de coopération et le réseau des CSIRT, ces entités devraient entrer dans le champ d’application de la présente directive. Il convient donc de supprimer les dispositions correspondantes prévues par le règlement (UE) no 910/2014 et par la directive (UE) 2018/1972 portant sur l’imposition d’exigences en matière de sécurité et de notification à ce type d’entité. Les règles relatives aux obligations d’information prévues par la présente directive devraient être sans préjudice du règlement (UE) 2016/679 et de la directive 2002/58/CE.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite (modifiee par la loi du 28 juillet 2025)

Au Luxembourg, l'ILR est l'autorité competente pour les operateurs de communications électroniques (deja régulateur historique telecoms) et devient egalement l'autorité NIS 2. Cette concentration est un atout : un seul interlocuteur ILR pour les obligations telecoms historiques et NIS 2. Pour les prestataires de services de confiance, l'ILNAS reste l'organe de supervision eIDAS mais les obligations de cybersécurité et de notification d'incident basculent vers l'ILR via la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025).

Pratique Luxgap : nous recommandons aux operateurs telecoms et PSCo luxembourgeois de cartographier formellement la répartition ILR / ILNAS / CNPD dans leur plan de réponse a incident, car le piège classique au Luxembourg est de continuer a notifier l'ILNAS pour des incidents de sécurité qui relevent desormais exclusivement de l'ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 92 acte une bascule fondamentale : les operateurs telecoms (anciennement sous l'article 40 du Code des communications électroniques européen) et les prestataires de services de confiance (anciennement sous l'article 19 d'eIDAS) basculent intégralement sous NIS 2. En pratique, l'ILR sanctionné les operateurs telecoms et eIDAS qui n'ont pas mis à jour leur cadre de conformité et continuent d'appliquer les anciens regimes : double notification mal calibree, CSIRT non désigné en interlocuteur, ou enregistrement manquant dans le registre NIS 2. La streamlining clause n'allege pas l'obligation, elle change l'autorité competente et le délai.

Ce que ce considérant impose concretement

Les fournisseurs de réseaux et services de communications électroniques publics sont des entités essentielles ou importantes sous NIS 2, plus sous la directive (UE) 2018/1972.
Les prestataires de services de confiance (qualifiés ou non) sont des entités essentielles sous NIS 2, plus sous l'article 19 du règlement eIDAS 910/2014.
Le CSIRT national devient l'interlocuteur unique de gestion d'incident, remplacant les canaux sectoriels telecoms / eIDAS preexistants.
Les obligations RGPD (notification CNPD sous 72h pour les données personnelles) et ePrivacy restent cumulatives : une violation d'intégrité affectant des données client déclenche les deux regimes en parallele.
Le registre des entités NIS 2 tenu par l'ENISA inclut desormais les telecoms et eIDAS : l'enregistrement est impératif.

Le piège de la double notification

Un operateur telecom qui subit un incident affectant des données d'abonnes doit notifier : (1) le CSIRT national sous 24h puis 72h selon NIS 2, (2) la CNPD sous 72h selon le RGPD, (3) eventuellement les abonnes selon ePrivacy. Les délais et les contenus different. Sans matrice de notification preparee a froid, le risque est de rater un canal ou d'envoyer une information contradictoire entre autorités.

Comment Luxgap automatise ce risque

Notre Luxgap Multi-Regime Incident Router elimine le risque de notification manquee ou contradictoire en orchestrant automatiquement les obligations parallelles NIS 2, RGPD, ePrivacy et eIDAS depuis un point d'entree unique. Des qu'un incident est declare dans votre SIEM (Microsoft Sentinel, Splunk, Wazuh, CrowdStrike Falcon), l'outil calcule en moins de 60 secondes quelles autorités notifier, dans quels délais, avec quels contenus, et prepare les formulaires preremplis pour l'ILR, la CNPD et eventuellement les abonnes.

Detecte le type d'incident depuis vos outils de détection et qualifié automatiquement le statut de l'entité (telecom, prestataire de confiance, entité essentielle générique).
Calcule les délais légaux paralleles (24h ILR, 72h ILR, 72h CNPD, notification ePrivacy aux abonnes) et déclenche les rappels Teams ou Slack avant chaque echeance.
Genere les formulaires de notification preremplis pour chaque autorité, avec coherence garantie entre les contenus (impossible d'envoyer un périmètre different a la CNPD et a l'ILR).
Produit le dossier d'instruction horodate cryptographiquement, opposable lors d'un contrôle ILR ou CNPD, qui démontré la diligence et la coordination des notifications.
Archive automatiquement le post-mortem et les preuves de notification dans un coffre-fort numérique conforme article 21 NIS 2.

Disponible en complement d'un mandat DPO ou CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez une demonstration sur votre stack reelle, avec un audit blanc gratuit sous 48h qui simule un incident multi-regime et mesure votre temps de reaction actuel avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 92

Ils nous font confiance

Avant de discuter