Je dois mettre mon organisation luxembourgeoise en conformité au considérant 98 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Le piège classiqueLe considérant 98 pose un principe simple mais souvent mal interprete : le chiffrement, notamment de bout en bout, doit être encourage voire impose aux fournisseurs de communications électroniques, sans être affaibli au nom d'autres intérêts étatiques. En pratique, l'ILR et l'ENISA constatent que beaucoup d'entités essentielles deployent du TLS en transit mais laissent les données en clair au repos, ou utilisent des clés gérées par le prestataire cloud sans separation de privilège. Le piège : croire que "HTTPS partout" suffit a satisfaire l'esprit de NIS 2, alors que le considérant exige une approche data-centric (cartographie, segmentation, marquage, politique d'accès).Ce que ce considérant change concretement pour vos mesures techniquesCe considérant eclaire l'interprétation de l'article 21 (mesures de gestion des risques) : l'ILR attend des entités qu'elles puissent démontrer une logique défense en profondeur centree sur la donnée, pas seulement sur le périmètre réseau.Chiffrement de bout en bout pour les communications sensibles (messagerie interne, transferts inter-sites, API metier).Chiffrement au repos avec gestion des clés separee du fournisseur cloud (BYOK ou HYOK sur Azure, AWS KMS External Key Store, Google EKM).Cartographie des flux de données : ou sont stockees, qui y accede, via quel canal, avec quel niveau de chiffrement.Segmentation réseau (micro-segmentation, zero trust) et marquage des données (sensitivity labels M365, AIP, classification automatique).Politique d'accès dynamique basee sur le risque (Conditional Access, décisions d'accès automatisées selon contexte).Justification documentee si une exception au chiffrement de bout en bout est imposee par une obligation légale.Comment Luxgap automatise ce risqueNotre Luxgap Encryption Coverage Radar transforme la promesse abstraite du considérant 98 en une carte de chaleur opposable : il scanne en continu vos flux de données et identifié chaque endroit ou une donnée sensible circule ou repose en clair, sans attendre qu'un auditeur ou un incident le révélé. L'outil se connecte nativement a Microsoft Purview, Defender for Cloud Apps, Azure Key Vault, AWS KMS, Google Cloud KMS, vos firewalls (Fortinet, Palo Alto), vos passerelles email et vos solutions de messagerie pour reconstituer la chaîne cryptographique reelle, bout en bout.Cartographie automatiquement chaque flux de données entre vos systèmes (M365, Salesforce, Odoo, SAP, AWS S3, Azure Blob) et signale les segments non chiffres ou chiffres avec des clés gérées par le prestataire.Detecte en temps reel l'apparition d'une nouvelle exposition (nouveau bucket S3 sans SSE, nouvelle base SQL sans TDE, nouvelle API publique sans TLS 1.3) via cron 5 minutes et alerte Teams instantanee.Vérifié la robustesse cryptographique reelle (versions TLS, algorithmes deprecies RC4 ou 3DES, certificats expirant, suites de chiffrement faibles) sur l'ensemble de votre surface exposee.Mesure la separation effective des clés entre l...

Considérant 98 NIS 2 — Considérant 98

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 98

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(98)

Afin de préserver la sécurité des réseaux et services de communications électroniques publics, il convient d’encourager l’utilisation de techniques de chiffrement, notamment du chiffrement de bout en bout ainsi que des concepts de sécurité axés sur les données, comme la cartographie, la segmentation, le balisage, une politique d’accès et la gestion de l’accès, ainsi que des décisions d’accès automatisé. L’utilisation du chiffrement, notamment du chiffrement de bout en bout, devrait si nécessaire être imposée aux fournisseurs de réseaux publics de communications électroniques ou de services de communications électroniques accessibles au public, conformément aux principes de sécurité et de respect de la vie privée par défaut et dès la conception aux fins de la présente directive. Il convient de concilier l’utilisation du chiffrement de bout en bout avec les pouvoirs dont disposent les États membres pour garantir la protection de leurs intérêts essentiels de sécurité et de la sécurité publique et pour permettre la prévention et la détection d’infractions pénales ainsi que les enquêtes et poursuites en la matière, dans le respect du droit de l’Union. Toutefois, cela ne devrait pas affaiblir le chiffrement de bout en bout, qui est une technologie essentielle pour une protection efficace des données, de la vie privée et de la sécurité des communications.

Spécificité Luxembourg

loi luxembourgeoise du 28 juillet 2023 relative a la cybersecurite

Au Luxembourg, la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025) confie a l'ILR le contrôle des mesures techniques des entités essentielles et importantes, y compris la robustesse cryptographique. L'ILR s'appuie sur les référentiels ENISA et ANSSI pour évaluer la pertinence des choix de chiffrement, et peut exiger lors d'une inspection la preuve concrete que les clés ne sont pas exclusivement sous contrôle d'un hyperscaler étranger lorsque les données sont sensibles.

Pratique Luxgap : pour les entités traitant des données a forte sensibilite (santé, finance, administration), nous recommandons l'utilisation de HSM hébergés sur LuxConnect ou eBRC avec separation stricte des clés via BYOK ou HYOK, et la documentation de ce choix dans votre dossier ILR.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 98 pose un principe simple mais souvent mal interprete : le chiffrement, notamment de bout en bout, doit être encourage voire impose aux fournisseurs de communications électroniques, sans être affaibli au nom d'autres intérêts étatiques. En pratique, l'ILR et l'ENISA constatent que beaucoup d'entités essentielles deployent du TLS en transit mais laissent les données en clair au repos, ou utilisent des clés gérées par le prestataire cloud sans separation de privilège. Le piège : croire que "HTTPS partout" suffit a satisfaire l'esprit de NIS 2, alors que le considérant exige une approche data-centric (cartographie, segmentation, marquage, politique d'accès).

Ce que ce considérant change concretement pour vos mesures techniques

Ce considérant eclaire l'interprétation de l'article 21 (mesures de gestion des risques) : l'ILR attend des entités qu'elles puissent démontrer une logique défense en profondeur centree sur la donnée, pas seulement sur le périmètre réseau.

Chiffrement de bout en bout pour les communications sensibles (messagerie interne, transferts inter-sites, API metier).
Chiffrement au repos avec gestion des clés separee du fournisseur cloud (BYOK ou HYOK sur Azure, AWS KMS External Key Store, Google EKM).
Cartographie des flux de données : ou sont stockees, qui y accede, via quel canal, avec quel niveau de chiffrement.
Segmentation réseau (micro-segmentation, zero trust) et marquage des données (sensitivity labels M365, AIP, classification automatique).
Politique d'accès dynamique basee sur le risque (Conditional Access, décisions d'accès automatisées selon contexte).
Justification documentee si une exception au chiffrement de bout en bout est imposee par une obligation légale.

Comment Luxgap automatise ce risque

Notre Luxgap Encryption Coverage Radar transforme la promesse abstraite du considérant 98 en une carte de chaleur opposable : il scanne en continu vos flux de données et identifié chaque endroit ou une donnée sensible circule ou repose en clair, sans attendre qu'un auditeur ou un incident le révélé. L'outil se connecte nativement a Microsoft Purview, Defender for Cloud Apps, Azure Key Vault, AWS KMS, Google Cloud KMS, vos firewalls (Fortinet, Palo Alto), vos passerelles email et vos solutions de messagerie pour reconstituer la chaîne cryptographique reelle, bout en bout.

Cartographie automatiquement chaque flux de données entre vos systèmes (M365, Salesforce, Odoo, SAP, AWS S3, Azure Blob) et signale les segments non chiffres ou chiffres avec des clés gérées par le prestataire.
Detecte en temps reel l'apparition d'une nouvelle exposition (nouveau bucket S3 sans SSE, nouvelle base SQL sans TDE, nouvelle API publique sans TLS 1.3) via cron 5 minutes et alerte Teams instantanee.
Vérifié la robustesse cryptographique reelle (versions TLS, algorithmes deprecies RC4 ou 3DES, certificats expirant, suites de chiffrement faibles) sur l'ensemble de votre surface exposee.
Mesure la separation effective des clés entre le fournisseur cloud et l'entité, et alerte si une clé critique reste sous contrôle exclusif de l'hyperscaler.
Produit un rapport PDF horodate et cryptographiquement scelle, opposable lors d'une inspection ILR, demontrant la conformité aux principes security by default and by design du considérant 98.
Genere une fiche d'exception documentee chaque fois qu'un chiffrement de bout en bout est volontairement limite pour répondre a une obligation légale, conformément a l'equilibre prévu par le considérant.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre périmètre reel, avec un audit blanc gratuit sous 48h pour cartographier vos zones non chiffrees avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 98

Ils nous font confiance

Avant de discuter