Je dois mettre mon organisation luxembourgeoise en conformité au considérant 97 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 97 elargit silencieusement le périmètre NIS 2 a tous les fournisseurs de réseaux de communications électroniques publics, y compris les operateurs de cables sous-marins, de POP, de transit IP et de peering. Beaucoup d'operateurs telecoms luxembourgeois pensaient relever uniquement du cadre BEREC ou du Code des communications électroniques (loi du 17 decembre 2021) et decouvrent qu'ils cumulent les obligations NIS 2 vis-a-vis de l'ILR. L'ILR sanctionné deja en pratique le defaut de notification d'incidents réseau et l'absence de cartographie des dependances critiques internet.Comment ce considérant influence l'interprétation des articlesCe considérant eclaire notamment les articles 21 (mesures de gestion des risques) et 23 (notification d'incidents) en imposant une lecture extensive :La connectivite internet n'est plus un service support mais un actif critique a cartographier pour toutes les entités essentielles et importantes, pas seulement les telcos.Les incidents affectant les cables sous-marins (atterrages, repeteurs, stations de cable) déclenchent une notification spécifique au CSIRT, même en l'absence d'impact client immediat.La stratégie nationale doit intégrer une cartographie des risques sur la connectivite internationale : pour le Luxembourg, cela signifié tracer les dependances vers les datacenters Tier IV (LuxConnect, EBR C) et les routes optiques transfrontalières (BE, DE, FR).Le sabotage et l'espionnage étatique (Nord Stream, cables Baltique 2023-2024) deviennent un scénario de menacé a documenter dans l'analyse de risques article 21(2).Comment Luxgap automatise ce risqueNotre Luxgap Connectivity Dependency Mapper transforme votre dependance invisible a internet en cartographie opposable a l'ILR en moins de 72 heures. L'outil interroge en continu vos tables de routage BGP, vos contrats de transit IP, vos logs DNS recursifs et vos endpoints M365/Azure/AWS pour reconstituer la chaîne physique reelle entre vos services critiques et le backbone internet, jusqu'aux atterrages de cables sous-marins identifiés par TeleGeography.Scanne vos AS upstream et detecte les single points of failure sur vos routes vers les datacenters luxembourgeois (LuxConnect DC1/DC2, EBR C Résilience Centre, POST).Cartographie automatiquement les cables sous-marins traverses par vos flux applicatifs critiques (M365, Salesforce, SAP cloud) et alerte en cas de coupure signalee par les operateurs.Calcule un score de résilience par service critique, ponderee par la diversite des routes optiques et la concentration sur un seul carrier.Genere le module connectivite a intégrer dans votre analyse de risques NIS 2 article 21, prerempli avec les scénarios sabotage et espionnage étatique conformes au considérant 97.Produit un rapport PDF horodate transmissible au CSIRT national en cas d'incident affectant un cable sous-marin ou un point d'atterrage.Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmè...

Considérant 97 NIS 2 — Considérant 97

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 97

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(97)

Le marché intérieur dépend plus que jamais du fonctionnement d’internet. Les services de la quasi-totalité des entités essentielles et importantes dépendent de services fournis sur internet. Afin d’assurer la prestation harmonieuse des services fournis par les entités essentielles et importantes, il est important que tous les fournisseurs de réseaux de communications électroniques publics disposent de mesures de gestion des risques en matière de cybersécurité appropriées et notifient les incidents importants qui les concernent. Les États membres devraient veiller au maintien de la sécurité des réseaux de communications électroniques publics et veiller à la protection de leurs intérêts vitaux sur le plan de la sécurité contre le sabotage et l’espionnage. Étant donné que la connectivité internationale renforce et accélère la numérisation compétitive de l’Union et de son économie, les incidents affectant les câbles de communication sous-marins devraient être signalés au CSIRT ou, le cas échéant, à l’autorité compétente. La stratégie nationale en matière de cybersécurité devrait, le cas échéant, tenir compte de la cybersécurité des câbles de communication sous-marins et inclure une cartographie des risques potentiels en matière de cybersécurité et des mesures d’atténuation afin de garantir le niveau de protection le plus élevé possible.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente a la fois pour le Code des communications électroniques (loi du 17 decembre 2021) et pour NIS 2 (loi du 28 juillet 2023 modifiee par la loi du 28 juillet 2025). Les operateurs de cables sous-marins atterrissant indirectement au Luxembourg via les routes BE/FR/DE doivent notifier le GOVCERT.LU (CSIRT national) en parallele de l'ILR pour tout incident affectant la connectivite internationale.

Pratique Luxgap : nous croisons votre cartographie d'atterrages avec la liste des operateurs critiques désignés par l'ILR pour identifier si vous êtes en dependance indirecte d'une entité essentielle, ce qui déclenche des obligations de notification en cascade même si vous n'êtes pas vous-meme operateur telecom.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 97 elargit silencieusement le périmètre NIS 2 a tous les fournisseurs de réseaux de communications électroniques publics, y compris les operateurs de cables sous-marins, de POP, de transit IP et de peering. Beaucoup d'operateurs telecoms luxembourgeois pensaient relever uniquement du cadre BEREC ou du Code des communications électroniques (loi du 17 decembre 2021) et decouvrent qu'ils cumulent les obligations NIS 2 vis-a-vis de l'ILR. L'ILR sanctionné deja en pratique le defaut de notification d'incidents réseau et l'absence de cartographie des dependances critiques internet.

Comment ce considérant influence l'interprétation des articles

Ce considérant eclaire notamment les articles 21 (mesures de gestion des risques) et 23 (notification d'incidents) en imposant une lecture extensive :

La connectivite internet n'est plus un service support mais un actif critique a cartographier pour toutes les entités essentielles et importantes, pas seulement les telcos.
Les incidents affectant les cables sous-marins (atterrages, repeteurs, stations de cable) déclenchent une notification spécifique au CSIRT, même en l'absence d'impact client immediat.
La stratégie nationale doit intégrer une cartographie des risques sur la connectivite internationale : pour le Luxembourg, cela signifié tracer les dependances vers les datacenters Tier IV (LuxConnect, EBR C) et les routes optiques transfrontalières (BE, DE, FR).
Le sabotage et l'espionnage étatique (Nord Stream, cables Baltique 2023-2024) deviennent un scénario de menacé a documenter dans l'analyse de risques article 21(2).

Comment Luxgap automatise ce risque

Notre Luxgap Connectivity Dependency Mapper transforme votre dependance invisible a internet en cartographie opposable a l'ILR en moins de 72 heures. L'outil interroge en continu vos tables de routage BGP, vos contrats de transit IP, vos logs DNS recursifs et vos endpoints M365/Azure/AWS pour reconstituer la chaîne physique reelle entre vos services critiques et le backbone internet, jusqu'aux atterrages de cables sous-marins identifiés par TeleGeography.

Scanne vos AS upstream et detecte les single points of failure sur vos routes vers les datacenters luxembourgeois (LuxConnect DC1/DC2, EBR C Résilience Centre, POST).
Cartographie automatiquement les cables sous-marins traverses par vos flux applicatifs critiques (M365, Salesforce, SAP cloud) et alerte en cas de coupure signalee par les operateurs.
Calcule un score de résilience par service critique, ponderee par la diversite des routes optiques et la concentration sur un seul carrier.
Genere le module connectivite a intégrer dans votre analyse de risques NIS 2 article 21, prerempli avec les scénarios sabotage et espionnage étatique conformes au considérant 97.
Produit un rapport PDF horodate transmissible au CSIRT national en cas d'incident affectant un cable sous-marin ou un point d'atterrage.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur vos flux reels, avec un scan gratuit sous 48h pour mesurer votre exposition aux ruptures de connectivite internationale avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 97

Ils nous font confiance

Avant de discuter