Je dois mettre mon organisation luxembourgeoise en conformité au considérant 99 du NIS 2 (UE 2022/2555). Quelles sont les exigences concretes a respecter, les sanctions encourues, et comment Luxgap peut-il m'accompagner ?

Considérant 99 NIS 2 — Considérant 99

Cadre européenRGPDNIS 2DORA AI Act Lanceurs d'alerte

Circulaires CSSFCSSF 22/806 CSSF 25/883 CSSF 25/880 CSSF 25/881 CSSF 25/882 CSSF 20/750 CSSF 12/552 CSSF 11/504 (abrogée)CSSF 24/847

Considérant 99

Directive sur la cybersécurité des réseaux et systèmes d'information · UE 2022/2555

(99)

Afin de préserver la sécurité et de prévenir les abus et la manipulation des réseaux publics de communications électroniques et des services de communications électroniques accessibles au public, il convient de promouvoir l’utilisation de normes de routage sécurisé pour garantir l’intégrité et la solidité des fonctions de routage dans l’ensemble de l’écosystème des fournisseurs de services d’accès à internet.

Spécificité Luxembourg

loi du 28 juillet 2023 relative a la cybersecurite, modifiee par la loi du 28 juillet 2025

Au Luxembourg, l'ILR est l'autorité competente pour les fournisseurs de réseaux et services de communications électroniques au titre de la loi du 28 juillet 2023 relative a la cybersécurité (modifiee par la loi du 28 juillet 2025). L'ILR coopere etroitement avec le Luxembourg Internet Exchange (LU-CIX) qui est lui-meme participant MANRS, ce qui place de facto le niveau d'attente local sur RPKI et ROV au-dessus de la moyenne UE pour les operateurs peeres au LU-CIX.

Pratique Luxgap : si vous êtes operateur ou FAI peere au LU-CIX, faites réaliser un audit RPKI/MANRS avant votre prochain renouvellement de peering, l'IXP vérifié desormais activement la posture de ses membres.

Conseil Luxgap · DPO & CISO

Comment se conformer

Le piège classique

Le considérant 99 cible un angle mort majeur des operateurs telecoms et FAI luxembourgeois : la sécurité du routage BGP. En cas d'incident de BGP hijacking ou de fuite de routes, l'ILR examinera si l'operateur a mis en œuvre les standards de routage securise reconnus (MANRS, RPKI, ROA signes). L'absence de filtrage des prefixes annonces et de validation cryptographique des routes est typiquement considérée comme une carence de mesure technique appropriee au sens de l'article 21.

Les standards de routage securise attendus

RPKI (Resource Public Key Infrastructure, RFC 6480) avec publication de ROA signes pour chaque prefixe IP annonce.
ROV (Route Origin Validation) sur tous les peerings et transits, avec drop des routes invalid.
Adhesion au programme MANRS (Mutually Agreed Norms for Routing Security) de l'Internet Society pour FAI, IXP et operateurs cloud.
Filtrage strict des annonces clients via IRR (Internet Routing Registry) et prefix-lists générées automatiquement.
Deploiement progressif de BGPsec (RFC 8205) et protection anti-spoofing BCP 38 (uRPF) en bordure.
Monitoring continu des fuites de prefixes via outils type BGPmon, Cloudflare Radar ou RIPE RIS.

Comment Luxgap automatise ce risque

Notre Luxgap Routing Integrity Sentinel transforme la conformité routage d'un sujet d'expert NOC en preuve opposable a l'ILR. L'outil interroge en continu les bases RPKI (RIPE NCC, ARIN), les looking glasses publics et les flux BGP RIS pour materialiser, prefixe par prefixe et ASN par ASN, l'état reel de couverture cryptographique de votre routage, sans installer le moindre agent sur vos routeurs Cisco, Juniper ou Nokia.

Scanne en temps reel les annonces BGP de votre ASN et detecte les hijacks, fuites ou desaggregations suspectes avec alerte Teams ou Slack sous 5 minutes.
Vérifié la couverture RPKI de chaque prefixe IPv4 et IPv6 annonce, et genere les ROA manquants pretes a publier au RIR.
Audite la configuration Route Origin Validation sur vos peerings via tests actifs depuis des sondes distribuees et identifié les sessions qui acceptent encore les routes invalid.
Evalue automatiquement votre conformité aux 4 actions MANRS (filtrage, anti-spoofing, coordination, validation) et produit le dossier de candidature au programme.
Genere un rapport PDF horodate, scelle cryptographiquement, opposable a l'ILR lors d'une inspection NIS 2, demontrant la mise en œuvre effective de l'article 21 sur le volet routage.

Disponible en complement d'un mandat CISO Luxgap ou en brique SaaS dediee selon votre périmètre. Demandez un devis personnalise et nos équipes preparent une demonstration sur votre ASN reel, avec un audit blanc gratuit sous 48h qui cartographie votre exposition au BGP hijacking avant tout engagement.

Besoin d'aide ?

Notre équipe (juristes + ingénieurs cyber + devs) vous accompagne. Devis gratuit sous 48h.

Nous contacter →

Considérant 99

Ils nous font confiance

Avant de discuter