Je dois mettre mon organisation luxembourgeoise en conformité au considérant 95 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 95 invite les États membres à recycler les acquis de la directive (UE) 2018/1972 (Code des communications électroniques européen) pour la mise en œuvre de NIS 2 chez les opérateurs télécoms. En pratique, beaucoup d'opérateurs de réseaux de communications électroniques pensent que leurs procédures sécurité existantes au titre des articles 40 et 41 du Code suffisent : c'est faux. L'ILR, qui cumule déjà la régulation télécoms et la compétence NIS 2 au Luxembourg, attend une cartographie de l'écart entre l'ancien régime et les nouvelles exigences NIS 2 (gouvernance, supply chain, notifications en 24h/72h/30j, organe de direction responsable).Ce que le considérant 95 implique concrètementLes opérateurs télécoms ne repartent pas de zéro : leurs politiques sécurité issues de la directive 2018/1972 restent une base légitime.Mais NIS 2 ajoute des obligations plus larges : approche tous risques, gestion des vulnérabilités, sécurité de la chaîne d'approvisionnement, formation de l'organe de direction (article 20), notifications multi-paliers (article 23).L'ILR, en tant qu'autorité de régulation nationale au titre du Code des communications électroniques, est naturellement compétente pour les opérateurs télécoms sous NIS 2 : pas de double interlocuteur, mais pas non plus de double indulgence.Les orientations ENISA (notamment le Technical Guideline on Security Measures pour l'article 40) restent un référentiel utile, mais doivent être complétées par les mesures NIS 2 article 21.Un audit de transposition est attendu : démontrer ce qui était déjà en place, ce qui a été ajouté, et la date d'effectivité de chaque mesure.Comment Luxgap automatise ce risqueNotre Luxgap Telecom Continuity Mapper transforme la transition Code 2018/1972 vers NIS 2 en matrice de preuve opposable à l'ILR. L'outil ingère vos politiques sécurité existantes (PDF, Confluence, SharePoint), vos rapports d'incidents historiques déclarés au titre de l'article 40, vos référentiels ENISA déjà appliqués, et les recoupe automatiquement avec les 10 catégories de mesures de l'article 21 NIS 2 pour matérialiser exactement ce qui est couvert, ce qui manque, et ce qui doit être renforcé.Analyse vos politiques sécurité télécoms via un agent LLM spécialisé qui extrait chaque mesure existante et la mappe contre l'article 21 NIS 2 et les ENISA Technical Guidelines.Détecte les écarts critiques (supply chain, formation organe de direction, notification 24h) absents du régime article 40 antérieur.Génère un plan de transposition daté, priorisé par criticité, avec les actions concrètes pour chaque écart identifié.Produit un dossier de continuité opposable à l'ILR démontrant la traçabilité entre ancien régime télécoms et nouveau régime NIS 2.Surveille les nouvelles orientations ENISA publiées et alerte automatiquement quand une mise à jour de votre dispositif est requise.Pré-remplit les notifications d'incidents au format attendu par l'ILR, avec les délais 24h/72h/30j déclenché...

Considérant 95 NIS 2 — Considérant 95

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 95

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(95)

Lorsque cela est approprié et afin d’éviter toute perturbation inutile, il convient de tenir compte, pour la transposition de la présente directive, des lignes directrices nationales existantes adoptées en vue de la transposition des règles portant sur les mesures de sécurité prévues par les articles 40 et 41 de la directive (UE) 2018/1972, en s’appuyant ainsi sur les connaissances et compétences déjà acquises dans le cadre de la directive (UE) 2018/1972 en ce qui concerne les mesures de sécurité et les notifications d’incidents. L’ENISA peut également élaborer des orientations sur les exigences en matière de sécurité et les obligations d’information qui incombent aux fournisseurs de réseaux de communications électroniques publics ou de services de communications électroniques accessibles au public afin de faciliter l’harmonisation et la transition et de réduire autant que possible les perturbations. Les États membres peuvent confier le rôle des autorités compétentes pour les communications électroniques aux autorités de régulation nationales en vertu de la directive (UE) 2018/1972, afin d’assurer la continuité des pratiques actuelles et de tirer parti des connaissances et de l’expérience acquises dans le cadre de la mise en œuvre de ladite directive.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est à la fois l'autorité de régulation nationale au titre du Code des communications électroniques (loi du 17 décembre 2021 sur les réseaux et services de communications électroniques) et l'autorité compétente NIS 2 pour le secteur des infrastructures numériques. La loi du 28 juillet 2023 relative à la cybersécurité, modifiée par la loi du 28 juillet 2025, opère cette continuité institutionnelle voulue par le considérant 95 : un seul interlocuteur pour les opérateurs télécoms, à la fois pour la sécurité au titre du Code et pour les obligations NIS 2.

Pratique Luxgap : pour un opérateur télécom luxembourgeois, documentez en amont votre dispositif article 40/41 du Code et présentez à l'ILR un dossier de continuité unique démontrant l'extension vers les exigences NIS 2, plutôt que deux dossiers parallèles.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 95 invite les États membres à recycler les acquis de la directive (UE) 2018/1972 (Code des communications électroniques européen) pour la mise en œuvre de NIS 2 chez les opérateurs télécoms. En pratique, beaucoup d'opérateurs de réseaux de communications électroniques pensent que leurs procédures sécurité existantes au titre des articles 40 et 41 du Code suffisent : c'est faux. L'ILR, qui cumule déjà la régulation télécoms et la compétence NIS 2 au Luxembourg, attend une cartographie de l'écart entre l'ancien régime et les nouvelles exigences NIS 2 (gouvernance, supply chain, notifications en 24h/72h/30j, organe de direction responsable).

Ce que le considérant 95 implique concrètement

Les opérateurs télécoms ne repartent pas de zéro : leurs politiques sécurité issues de la directive 2018/1972 restent une base légitime.
Mais NIS 2 ajoute des obligations plus larges : approche tous risques, gestion des vulnérabilités, sécurité de la chaîne d'approvisionnement, formation de l'organe de direction (article 20), notifications multi-paliers (article 23).
L'ILR, en tant qu'autorité de régulation nationale au titre du Code des communications électroniques, est naturellement compétente pour les opérateurs télécoms sous NIS 2 : pas de double interlocuteur, mais pas non plus de double indulgence.
Les orientations ENISA (notamment le Technical Guideline on Security Measures pour l'article 40) restent un référentiel utile, mais doivent être complétées par les mesures NIS 2 article 21.
Un audit de transposition est attendu : démontrer ce qui était déjà en place, ce qui a été ajouté, et la date d'effectivité de chaque mesure.

Comment Luxgap automatise ce risque

Notre Luxgap Telecom Continuity Mapper transforme la transition Code 2018/1972 vers NIS 2 en matrice de preuve opposable à l'ILR. L'outil ingère vos politiques sécurité existantes (PDF, Confluence, SharePoint), vos rapports d'incidents historiques déclarés au titre de l'article 40, vos référentiels ENISA déjà appliqués, et les recoupe automatiquement avec les 10 catégories de mesures de l'article 21 NIS 2 pour matérialiser exactement ce qui est couvert, ce qui manque, et ce qui doit être renforcé.

Analyse vos politiques sécurité télécoms via un agent LLM spécialisé qui extrait chaque mesure existante et la mappe contre l'article 21 NIS 2 et les ENISA Technical Guidelines.
Détecte les écarts critiques (supply chain, formation organe de direction, notification 24h) absents du régime article 40 antérieur.
Génère un plan de transposition daté, priorisé par criticité, avec les actions concrètes pour chaque écart identifié.
Produit un dossier de continuité opposable à l'ILR démontrant la traçabilité entre ancien régime télécoms et nouveau régime NIS 2.
Surveille les nouvelles orientations ENISA publiées et alerte automatiquement quand une mise à jour de votre dispositif est requise.
Pré-remplit les notifications d'incidents au format attendu par l'ILR, avec les délais 24h/72h/30j déclenchés automatiquement.

Disponible en complément d'un mandat CISO Luxgap ou en brique SaaS dédiée selon votre périmètre. Demandez un devis personnalisé et nos équipes préparent une démonstration sur vos politiques sécurité réelles, avec un audit blanc gratuit sous 48h pour mesurer votre écart de transposition avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 95

Ils nous font confiance

Avant de discuter