Je dois mettre mon organisation luxembourgeoise en conformité au considérant 93 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 93 NIS 2 — Considérant 93

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 93

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(93)

Les obligations en matière de cybersécurité énoncées dans la présente directive devraient être considérées comme complémentaires des exigences imposées aux prestataires de services de confiance en vertu du règlement (UE) no 910/2014. Les prestataires de services de confiance devraient être tenus de prendre toutes les mesures appropriées et proportionnées pour gérer les risques qui pèsent sur leurs services, y compris en ce qui concerne les clients et les tiers utilisateurs, et de notifier les incidents relevant de la présente directive. Ces obligations en matière de cybersécurité et d’information devraient également concerner la protection physique des services fournis. Les exigences applicables aux prestataires de services de confiance qualifiés énoncées à l’article 24 du règlement (UE) no 910/2014 continuent de s’appliquer.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est a la fois l'autorité de surveillance NIS 2 (loi du 28 juillet 2023 relative a la cybersécurité, modifiee par la loi du 28 juillet 2025) ET l'organisme de contrôle eIDAS pour les prestataires de services de confiance qualifiés établis sur le territoire. Cette dualité institutionnelle simplifié le guichet mais impose une vigilance accrue : un même incident peut déclencher deux qualifications juridiques distinctes (incident significatif NIS 2 et atteinte a un service de confiance qualifié eIDAS) avec deux délais et deux formulaires.

Pratique Luxgap : pour les PSCo qualifiés luxembourgeois (LuxTrust et acteurs assimiles), nous recommandons un playbook de notification unique qui déclenche en parallele les deux notifications ILR avec un seul point de contact interne, afin d'eviter toute desynchronisation entre les deux dossiers d'instruction.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Les prestataires de services de confiance (PSCo) au sens d'eIDAS croient souvent que leur regime sectoriel les exonere de NIS 2. C'est faux : le considérant 93 précisé que les deux corpus se cumulent. L'ILR au Luxembourg vérifié a la fois les mesures techniques NIS 2 (article 21) et le maintien des exigences eIDAS article 24 pour les PSCo qualifiés, y compris la protection physique des locaux d'horodatage et de generation de clés. L'oubli classique est de ne notifier qu'a un seul guichet, ou d'omettre la protection physique du HSM dans l'analyse de risque.

Les points d'attention pour les prestataires de services de confiance

La notification d'incident suit le double regime : notification ILR sous 24h (alerte précoce NIS 2) ET notification eIDAS si l'incident affecte un service de confiance qualifié.
La protection physique entre dans le périmètre : contrôle d'accès aux salles HSM, video-surveillance, détection intrusion, redondance des sites.
Les clients et tiers utilisateurs (relying parties) doivent être couverts par l'analyse de risque, pas seulement les actifs internes du PSCo.
Les audits eIDAS biennaux (article 20) ne remplacent pas les inspections ILR au titre de NIS 2.
La cartographie des dependances (autorité de certification racine, modules HSM, AC intermédiaires, OCSP, TSA) doit être documentee et tenue à jour.

Comment Luxgap automatise ce risque

Notre Luxgap Trust Service Sentinel est la seule plateforme luxembourgeoise qui fusionne le pilotage eIDAS et NIS 2 dans un même cockpit, en eliminant la double saisie et le risque de notification a un seul guichet. L'outil se connecte a votre PKI (EJBCA, Entrust, DigiCert, LuxTrust), a vos HSM (Thales Luna, Utimaco, AWS CloudHSM), a votre SIEM (Sentinel, Wazuh, Splunk) et a la supervision physique des sites (contrôle d'accès, GTB, vidéo) pour materialiser en temps reel la posture cumulee des deux regimes.

Detecte les incidents sur la chaîne de confiance (revocation anormale, latence OCSP, alerte HSM) et déclenche en parallele le workflow de notification ILR sous 24h et le formulaire eIDAS pre-rempli.
Cartographie automatiquement les dependances entre AC racine, AC intermédiaires, modules HSM, services d'horodatage et OCSP, avec scoring de criticite article 21 NIS 2.
Intégré la protection physique des sites (logs badgeage, alarmes intrusion, capteurs environnementaux) dans le tableau de bord de gestion des risques, conformément au considérant 93.
Genere le rapport d'audit unifié eIDAS article 20 plus NIS 2 article 21, opposable lors d'un contrôle ILR ou d'un audit de conformité ETSI EN 319 401.
Alerte sur les ecarts entre la déclaration de pratiques de certification (CPS) et la réalité opérationnelle observee dans vos systèmes.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre PKI. Demandez une demonstration sur votre infrastructure de confiance reelle, avec un audit blanc gratuit sous 48h pour mesurer l'ecart entre votre conformité eIDAS actuelle et les exigences cumulees NIS 2.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 93

Ils nous font confiance

Avant de discuter