NIS2 au Luxembourg : comment la loi du 5 mai 2026 transpose la directive européenne

Qui devrait lire ceci : responsables de la conformité, DSI, RSSI, juristes d’entreprise, responsables des risques et responsables des opérations dans les organisations actives au Luxembourg.

Après plus de deux ans de préparation, le Luxembourg a transposé la directive NIS2 (directive (UE) 2022/2555) en droit national. La loi du 5 mai 2026 sur des mesures destinées à assurer un niveau élevé de cybersécurité (la « loi NIS2 ») a été publiée au Mémorial A 225 et entre en vigueur immédiatement. Elle abroge la loi de 2019 qui transposait NIS1 et modifie plusieurs textes adjacents, notamment les lois régissant le commerce électronique, le Haut-Commissariat à la Protection nationale (HCPN), et les réseaux et services de communications électroniques.

Pour les organisations actives au Luxembourg, la posture juridique change de trois manières concrètes. D’abord, le champ des entités régulées est bien plus large qu’auparavant : les entreprises de taille intermédiaire et grande relevant de dix-huit secteurs sont désormais couvertes par défaut. Ensuite, l’architecture institutionnelle est clarifiée, l’Institut Luxembourgeois de Régulation (ILR) étant confirmé comme autorité compétente chef de file. Enfin, le pouvoir d’exécution est réel : les amendes administratives atteignent 10 millions d’euros ou 2 % du chiffre d’affaires mondial pour les entités essentielles, assorties d’astreintes journalières.

Cet article est un guide pratique destiné au lecteur d’affaires sur ce qu’exige la loi luxembourgeoise NIS2. Il fait correspondre chaque obligation à son équivalent dans la directive européenne, identifie l’organisme luxembourgeois avec lequel vous traiterez pour chaque interaction, et renvoie aux articles de référence qui approfondissent le sujet. Ce n’est pas un avis juridique ; pour cela, consultez un conseil. Mais cela devrait suffire à une équipe de direction pour planifier, budgétiser et désigner des responsables.

Pour le contexte général sur la directive elle-même, consultez notre guide de conformité NIS2.

Le parcours législatif : de NIS1 à la loi du 5 mai 2026

NIS1 a été transposée en droit luxembourgeois par la loi du 28 mai 2019. Cette loi s’appliquait à un nombre restreint d’« opérateurs de services essentiels » identifiés par des régulateurs sectoriels, ainsi qu’à une poignée de fournisseurs de services numériques. Elle a rempli son rôle, mais laissait l’essentiel de l’économie hors du périmètre cybersécurité.

La loi du 5 mai 2026 remplace ce cadre dans son intégralité. L’article 30 de la nouvelle loi abroge expressément la loi de 2019. La référence au nouveau texte s’effectue sous la forme « loi du 5 mai 2026 sur des mesures destinées à assurer un niveau élevé de cybersécurité ». Les documents parlementaires classent le projet sous Doc. parl. 8364. Le texte intégral est disponible sur Legilux à l’adresse legilux.public.lu/eli/etat/leg/loi/2026/05/05/a225/jo.

Si votre organisation était déjà couverte par NIS1, vous ne repartez pas d’une page blanche : l’article 11(1) point 7° de la nouvelle loi reconduit comme entités essentielles les opérateurs de services essentiels précédemment désignés. Les nouvelles obligations s’appliquent dès le premier jour ; le seul élément qui se reporte est votre statut de désignation, pas votre posture de conformité. Pour un rappel de ce qui change entre les deux régimes, consultez NIS1 vs NIS2 : les différences clés.

Champ d’application

L’article 1er de la loi NIS2 reprend la logique en deux temps du champ d’application de la directive européenne.

Secteur et taille. D’abord, l’entité doit être d’un type listé en annexe I ou annexe II de la loi. L’annexe I couvre les onze secteurs de haute criticité : énergie, transports, banque, infrastructures des marchés financiers, santé, eau potable, eaux usées, infrastructure numérique, gestion des services TIC (interentreprises), administration publique et espace. L’annexe II couvre sept autres secteurs critiques : services postaux et de messagerie, gestion des déchets, fabrication et distribution de produits chimiques, production et distribution de denrées alimentaires, fabrication (dispositifs médicaux, produits électroniques, équipements électriques, machines, véhicules à moteur, autres matériels de transport), fournisseurs numériques (places de marché en ligne, moteurs de recherche, plateformes de réseaux sociaux) et recherche. Ensuite, l’entité doit au minimum se qualifier comme entreprise de taille moyenne au sens de la recommandation 2003/361/CE de la Commission, ou dépasser ces seuils.

Catégories indépendantes de la taille. Indépendamment de leur taille, la loi s’applique aux fournisseurs de réseaux de communications électroniques publics et de services de communications électroniques accessibles au public, aux prestataires de services de confiance, aux registres des noms de domaine de premier niveau, aux fournisseurs de services DNS, aux fournisseurs uniques au Luxembourg d’un service essentiel au maintien d’activités sociétales ou économiques critiques, aux entités dont une perturbation pourrait avoir un impact significatif sur la sécurité publique ou générer un risque systémique, aux entités critiques au niveau national ou régional, aux entités d’administration publique, aux entités identifiées comme critiques au titre de la loi du 5 mai 2026 sur la résilience des entités critiques, et aux entités fournissant des services d’enregistrement de noms de domaine. L’article 1(2) est le texte de référence ici.

Si vous n’êtes pas sûr que la loi s’applique à votre organisation, le contrôle initial le plus rapide est notre vérificateur de périmètre NIS2, qui passe en revue secteur et taille en trois clics. Pour une lecture plus approfondie de la logique de cadrage de la directive, consultez nos guides sur le champ d’application et l’applicabilité de NIS2 et sur la distinction entre entités essentielles et importantes.

Le secteur financier mérite une mention à part. L’article 1(5) de la loi NIS2 exclut les entités relevant du champ d’application du règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier (« DORA »), conformément à l’article 2(4) dudit règlement. Là où DORA s’applique, il s’applique à la place de NIS2 pour les mêmes faits. Nous décomposons la frontière dans NIS2 et le secteur financier : comment DORA recoupe la banque et dans NIS2, DORA et CER : règlementations qui se chevauchent.

L’architecture institutionnelle luxembourgeoise

La loi du 5 mai 2026 désigne un ensemble restreint d’organismes et leur attribue un rôle clair à chacun. C’est l’une des parties les plus utiles du texte pour les équipes de conformité : elle vous indique exactement à qui parler, et dans quel cas.

Institut Luxembourgeois de Régulation (ILR). L’ILR est l’autorité compétente responsable de la supervision et de l’application en matière de cybersécurité au titre de la loi (article 3). Il couvre par défaut tous les secteurs des annexes I et II, ainsi que les entités critiques au titre de la loi du 5 mai 2026 sur la résilience. Conséquence pratique : l’ILR est l’organisme qui inspectera, auditera, demandera des informations, émettra des instructions contraignantes et imposera des amendes à la plupart des entités. Le portail NIS2 de l’ILR est publié à l’adresse ilr.lu/en/sectors/niss/nis-2.

Commission de surveillance du secteur financier (CSSF). La CSSF est l’autorité compétente pour le secteur bancaire et le secteur des infrastructures des marchés financiers (annexe I points 3 et 4), ainsi que pour les secteurs de l’infrastructure numérique et de la gestion des services TIC (annexe I points 8 et 9) au titre des activités relevant de la supervision de la CSSF. La plupart des entités financières seront bien sûr soumises à DORA plutôt qu’à NIS2, mais là où NIS2 s’applique encore, c’est la CSSF qui supervise.

Haut-Commissariat à la Protection nationale (HCPN). Le HCPN est le point de contact unique national chargé de la coopération transfrontalière avec les autres États membres, la Commission européenne et l’ENISA (article 5), et l’autorité de gestion des crises cyber représentant le Luxembourg au sein d’EU-CyCLONe (article 6). Le HCPN est aussi le rattachement de GOVCERT.LU.

GOVCERT.LU. Opéré par le HCPN, GOVCERT.LU est le CSIRT (Computer Security Incident Response Team, équipe de réponse aux incidents de sécurité informatique) pour les administrations et services de l’État, les établissements publics et les entités critiques au titre de la loi sur la résilience (article 7(1)). Il opère également MILCERT.LU pour les systèmes de l’armée.

CIRCL (Computer Incident Response Center Luxembourg). Opéré par le GIE Luxembourg House of Cybersecurity (groupement d’intérêt économique), CIRCL est le CSIRT pour toutes les autres catégories non couvertes par GOVCERT.LU (article 7(1)). Pour la plupart des entités essentielles et importantes du secteur privé, CIRCL est l’organisme qui recevra les notifications d’incidents, fournira l’assistance technique, animera la divulgation coordonnée des vulnérabilités (article 9) et participera au réseau des CSIRT au niveau de l’UE.

Si vous souhaitez la perspective européenne sur la façon dont ces organismes s’intègrent dans la conception de la directive, notre article de référence sur l’architecture institutionnelle de NIS2 : autorités, CSIRT et points de contact en présente le schéma.

Stratégie nationale et plan de crise

La loi modifie la loi organique du HCPN pour exiger deux instruments stratégiques.

La stratégie nationale de cybersécurité (nouvel article 9bis de la loi sur le HCPN) doit définir les objectifs, la gouvernance, les mécanismes d’évaluation des risques, les mesures de préparation, les politiques de sécurité de la chaîne d’approvisionnement, la gestion des vulnérabilités, le soutien aux PME et un plan de sensibilisation. La stratégie est réévaluée au moins tous les cinq ans. Pour le contexte sur la raison pour laquelle l’article 7 de la directive l’exige et sur ce à quoi ressemble une bonne stratégie, consultez La stratégie nationale de cybersécurité : ce qu’exige l’article 7.

Le plan national de réponse aux crises et incidents de cybersécurité de grande ampleur (nouvel article 9ter de la loi sur le HCPN) définit les procédures de gestion de crise, les mesures de préparation et les modalités de participation transfrontalière aux réponses coordonnées au niveau de l’UE. C’est l’ancrage du rôle du Luxembourg dans EU-CyCLONe et le réseau des CSIRT. Voir Le groupe de coopération, EU-CyCLONe et le réseau des CSIRT pour les mécanismes au niveau de l’UE.

Les dix mesures de gestion des risques de cybersécurité (article 12)

L’article 12 de la loi NIS2 est le cœur opérationnel. Il impose aux entités essentielles et importantes de prendre « des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées » fondées sur une approche tous risques. Le texte énumère dix catégories de mesures, identiques à celles de l’article 21(2) de la directive :

• politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
• gestion des incidents ;
• continuité des activités, y compris gestion des sauvegardes, reprise après sinistre et gestion de crise ;
• sécurité de la chaîne d’approvisionnement, y compris les aspects de sécurité concernant les relations avec les fournisseurs directs et les prestataires de services ;
• sécurité dans l’acquisition, le développement et la maintenance des réseaux et systèmes d’information, y compris le traitement et la divulgation des vulnérabilités ;
• politiques et procédures permettant d’évaluer l’efficacité des mesures de gestion des risques de cybersécurité ;
• pratiques de cyberhygiène de base et formation à la cybersécurité ;
• politiques et procédures relatives à l’utilisation de la cryptographie et, le cas échéant, du chiffrement ;
• sécurité des ressources humaines, politiques de contrôle d’accès et gestion des actifs ;
• authentification multifacteur ou solutions d’authentification continue, communications vocales, vidéo et textuelles sécurisées, et systèmes de communications d’urgence sécurisés au sein de l’entité, selon le cas.

Pour une analyse approfondie de ce que recouvre chacune de ces mesures en pratique, consultez Les 10 mesures de cybersécurité de l’article 21 de NIS2. Le principe tous risques, qui dépasse les seules cybermenaces pour inclure l’environnement physique, est décortiqué dans L’approche tous risques : sécurité physique sous NIS2. Le risque chaîne d’approvisionnement fait l’objet d’un traitement dédié dans Sécurité de la chaîne d’approvisionnement et risque fournisseur sous NIS2.

Deux notes spécifiques au Luxembourg. Premièrement, l’article 12(3) exige des entités essentielles qu’elles notifient à l’autorité compétente les mesures qu’elles ont prises, dans un format fixé par l’ILR ou la CSSF par voie de règlement ou de circulaire. Il ne s’agit pas d’une confirmation d’une ligne : prévoyez une remise structurée. Deuxièmement, l’article 12(4) exige des entités qu’elles tiennent compte des résultats des évaluations coordonnées au niveau de l’UE des risques de sécurité des chaînes d’approvisionnement critiques menées au titre de l’article 22 de la directive. Prévoyez de suivre ces évaluations et de documenter la manière dont vous en avez intégré les conclusions.

Responsabilité de l’organe de direction (article 13)

L’article 13 de la loi NIS2 est court mais lourd de conséquences. L’organe de direction des entités essentielles et importantes doit approuver les mesures de gestion des risques de cybersécurité, en superviser la mise en œuvre, et peut être tenu personnellement responsable des infractions à l’article 12. Les membres de l’organe de direction doivent suivre une formation régulière, et l’entité doit offrir une formation similaire à son personnel.

Pour les conseils d’administration et comités exécutifs, cela signifie que la cybersécurité n’est plus un « sujet IT » délégué au RSSI. C’est une affaire de niveau conseil, avec une supervision documentée, des registres de formation et des comptes rendus. Notre article sur La responsabilité du conseil et la gouvernance sous NIS2 décrit à quoi ressemble une posture de gouvernance défendable.

Signalement des incidents au titre de l’article 14

L’article 14 reproduit le régime à trois échéances de la directive européenne, qui constitue l’une des obligations les plus opérationnelles de la loi.

Alerte précoce, dans les 24 heures. Sans retard injustifié et, en tout état de cause, dans les 24 heures à compter de la prise de connaissance d’un incident important, l’entité soumet une alerte précoce à l’autorité compétente. L’alerte précoce indique si l’incident est suspecté d’avoir été causé par des actes illicites ou malveillants et s’il pourrait avoir un impact transfrontalier. Les prestataires de services de confiance fonctionnent sur une seule échéance de notification à 24 heures (article 14(4), deuxième alinéa).

Notification d’incident, dans les 72 heures. La notification met à jour l’alerte précoce et fournit une première évaluation de la gravité, de l’impact et, lorsque disponibles, des indicateurs de compromission.

Rapport final, au plus tard un mois après la notification d’incident. Le rapport couvre une description détaillée, la cause profonde, les mesures d’atténuation appliquées et en cours, ainsi que l’impact transfrontalier. Si l’incident est encore en cours de traitement au jalon d’un mois, l’entité fournit un rapport d’avancement et le rapport final intervient dans un délai d’un mois après la clôture du traitement.

L’autorité compétente doit fournir une première réponse à l’alerte précoce dans les 24 heures lorsque c’est possible, y compris des orientations et un conseil opérationnel. Le CSIRT (CIRCL ou GOVCERT.LU selon le cas) fournit un soutien technique sur demande.

Pour le guide pratique de l’exécution des échéances, consultez Le calendrier de signalement des incidents NIS2. Pour savoir quand un incident franchit réellement le seuil d’« important » (la décision la plus difficile dans les premières 24 heures), consultez Qu’est-ce qui rend un incident important au sens de NIS2.

Certification et normes (article 15)

L’article 15 permet à l’autorité compétente, par voie de règlement, d’exiger des entités essentielles et importantes qu’elles utilisent des produits, services ou processus TIC certifiés au titre des schémas européens de certification de cybersécurité adoptés au titre du Cybersecurity Act (règlement (UE) 2019/881). Il encourage aussi l’utilisation des services de confiance qualifiés.

Ce n’est pas encore un mandat ferme, mais cela indique la direction : l’autorité compétente peut et va probablement lier des familles de contrôles spécifiques à la certification au fil du temps. La relation avec ISO 27001 et les autres normes reconnues est traitée dans NIS2, ISO 27001 et les schémas de certification de cybersécurité.

Enregistrement et obligations des entités (articles 11 et 17)

Deux pistes d’enregistrement s’appliquent.

Enregistrement général (article 11(4)). Dans les deux mois suivant l’entrée en vigueur de la loi, les entités dans le champ doivent communiquer à l’autorité compétente leur nom, leurs coordonnées de contact, leur secteur et sous-secteur, les États membres dans lesquels elles fournissent des services, et leur taille. Les changements doivent être notifiés dans un délai de deux semaines.

Enregistrement du secteur numérique (article 17). Les fournisseurs de services DNS, les registres de noms de domaine de premier niveau, les entités fournissant des services d’enregistrement de noms de domaine, les fournisseurs de services d’informatique en nuage et de centres de données, les fournisseurs de réseaux de diffusion de contenu, les fournisseurs de services gérés, les fournisseurs de services de sécurité gérés et les fournisseurs de places de marché en ligne, de moteurs de recherche et de plateformes de réseaux sociaux doivent transmettre un jeu de données plus détaillé (y compris les plages IP) à l’autorité compétente. L’ILR transmet ces informations à l’ENISA pour le registre paneuropéen prévu à l’article 27 de la directive.

Si votre activité est celle d’un fournisseur de services gérés ou d’un MSSP, consultez Les MSP et MSSP sont-ils régulés par NIS2 pour les implications. Pour les fournisseurs de cloud, de centres de données et de CDN, consultez Infrastructure numérique sous NIS2 : cloud et centre de données.

Supervision et application

La loi trace une ligne nette entre les entités essentielles (article 22) et les entités importantes (article 23) dans la façon dont elles sont supervisées.

Les entités essentielles sont soumises à une supervision ex ante et ex post : inspections sur place, supervision à distance (y compris des contrôles aléatoires), audits de sécurité réguliers et ciblés, audits ad hoc après un incident important, scans de sécurité, et demandes d’informations, de données et d’éléments probants. L’autorité compétente peut exiger des audits par un organisme indépendant, dont les coûts sont à la charge de l’entité auditée.

Les entités importantes sont soumises à une supervision ex post uniquement. Les inspections, audits ciblés, scans et demandes d’informations restent possibles, mais déclenchés typiquement par des indices de non-conformité.

Les deux catégories font face au même outillage de mesures d’exécution : avertissements, instructions contraignantes, ordres de remédier aux carences, ordres d’informer les destinataires de service des cybermenaces, ordres de mettre en œuvre les recommandations d’audit, désignation d’un responsable du suivi, divulgation publique des infractions et amendes administratives. Pour les seules entités essentielles, si ces mesures s’avèrent inefficaces, l’autorité compétente peut saisir le président du Tribunal d’arrondissement de Luxembourg (siégeant comme en référé) pour deux mesures supplémentaires : suspension temporaire d’une certification ou d’une autorisation, ou interdiction temporaire faite au PDG ou au représentant légal d’exercer des fonctions de direction au sein de l’entité.

Notre article de référence sur Les pouvoirs d’application, sanctions et amendes NIS2 détaille comment les autorités utilisent ces outils en pratique.

Amendes administratives (articles 25 et 26)

La loi prévoit deux pistes d’amendes.

Manquements opérationnels de base (article 26). Les infractions à l’article 12 (les dix mesures) ou à l’article 14 (signalement des incidents) déclenchent les amendes principales :

• Entités essentielles : jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise, le montant le plus élevé étant retenu.
• Entités importantes : jusqu’à 7 000 000 EUR ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise, le montant le plus élevé étant retenu.

Ces chiffres correspondent exactement à la directive et sont conçus pour être effectifs, proportionnés et dissuasifs. Pour un traitement approfondi du calibrage et de l’application de ces plafonds, consultez Amendes administratives sous NIS2 : le cadre des 10 M€ et 7 M€.

Manquements administratifs (article 25). D’autres manquements spécifiés (défauts liés à l’enregistrement au titre de l’article 11(4), aux devoirs de l’organe de direction au titre de l’article 13(1) et (2), à la certification au titre de l’article 15, à l’enregistrement du secteur numérique au titre de l’article 17(1) premier alinéa et (2), et à l’exactitude des données DNS au titre de l’article 18(1) à (6)) sont passibles d’amendes administratives pouvant atteindre 250 000 EUR.

Astreintes (article 26(7)). En plus de toute amende, l’autorité compétente peut assortir sa décision d’une astreinte pour contraindre une entité à mettre fin à une infraction : jusqu’à 1 250 EUR par jour, plafonnée à 25 000 EUR au total par manquement constaté.

Recouvrement et recours. L’Administration de l’enregistrement, des domaines et de la TVA (AED) recouvre les amendes administratives pour le compte de l’ILR, un recours en réformation étant ouvert devant le tribunal administratif (article 25(4)). La procédure est contradictoire : l’entité a le droit de consulter le dossier, de présenter des observations et d’être assistée ou représentée.

Pour décider si et de combien sanctionner, l’autorité doit pondérer la gravité et la durée de l’infraction, les infractions antérieures, les dommages matériels et immatériels, l’intention ou la négligence, les mesures d’atténuation prises, l’application de mécanismes de certification, et le degré de coopération. Les infractions répétées, le défaut de signalement ou de remédiation d’incidents importants, l’obstruction d’audits et la fourniture d’informations fausses sont considérés comme graves en toutes circonstances (article 22(7)).

Chevauchements sectoriels et exemptions

Deux zones de chevauchement méritent attention.

RGPD (article 24). Si un constat de supervision suggère une violation de données à caractère personnel au sens de l’article 4(12) du RGPD, l’autorité compétente NIS2 doit en informer sans retard la Commission nationale pour la protection des données (CNPD, l’autorité luxembourgeoise de protection des données). Lorsque la CNPD impose une amende RGPD au titre de l’article 58(2)(i) pour les mêmes faits, l’ILR ou la CSSF ne peut pas également imposer une amende NIS2 au titre de l’article 26, mais peut encore appliquer les mesures d’exécution non pécuniaires. L’interaction est décortiquée dans Chevauchement NIS2 et RGPD : cybersécurité et protection des données.

DORA. Les entités du secteur financier couvertes par DORA sont exclues de la loi NIS2 par l’article 1(5). Pour les entités partiellement couvertes par DORA, la loi NIS2 continue de s’appliquer au résiduel. La frontière, et ce qu’elle signifie pour les banques et les infrastructures des marchés financiers, fait l’objet de NIS2 et le secteur financier : comment DORA recoupe la banque.

Obligations sectorielles équivalentes (article 1(8)). Lorsqu’un autre acte juridique de l’UE impose des obligations équivalentes de gestion des risques de cybersécurité et de notification d’incidents (avec des notifications acheminées automatiquement vers les CSIRT et les autorités compétentes), les dispositions correspondantes de la loi NIS2 (y compris le chapitre 6 sur la supervision et l’application) ne s’appliquent pas.

Lecture sectorielle ciblée

Si votre organisation relève d’un secteur régulé, le classement par annexe renvoie directement aux guides sectoriels correspondants :

• Énergie (annexe I §1) : NIS2 dans le secteur de l’énergie.
• Transports (annexe I §2) : NIS2 dans les transports : aviation, rail, maritime, route.
• Banque et infrastructures des marchés financiers (annexe I §3 et §4) : voir le chevauchement avec DORA ci-dessus.
• Santé (annexe I §5) : NIS2 dans le secteur de la santé : hôpitaux et pharmacie.
• Infrastructure numérique (annexe I §8) : NIS2 pour le cloud et les centres de données.
• Gestion des services TIC (annexe I §9) : Les MSP et MSSP sont-ils régulés par NIS2.

Ce qu’il faut faire ce trimestre

Pour la plupart des équipes de direction, le bon premier mouvement est une évaluation d’écart courte et disciplinée qui rapproche la loi des opérations actuelles et produit une feuille de route hiérarchisée. Une séquence raisonnable :

1. Confirmer le périmètre. Utilisez le vérificateur de périmètre NIS2 ou commandez à un conseil une revue de l’article 1er au regard de vos activités.
2. Identifier votre interlocuteur. L’ILR pour le cas par défaut ; la CSSF pour la banque, les infrastructures des marchés financiers, et les activités d’infrastructure numérique et de gestion des services TIC supervisées par la CSSF.
3. S’enregistrer. Préparez la déclaration au titre de l’article 11(4) (et la déclaration au titre de l’article 17 si applicable). L’horloge tourne à deux mois à compter de l’entrée en vigueur ; n’attendez pas un rappel.
4. Informer le conseil. La responsabilité personnelle au titre de l’article 13 est la conversation la plus importante à tenir au niveau de l’organe de direction. Documentez l’approbation des mesures et les plans de formation.
5. Établir le régime d’incidents. Cartographiez votre flux de détection, classification et notification sur les horloges 24h, 72h et un mois de l’article 14. Préenregistrez vos données de contact et votre CSIRT primaire (CIRCL ou GOVCERT.LU).
6. Combler les écarts de l’article 12. Réalisez une cartographie de contrôles par rapport aux dix catégories. Là où la chaîne d’approvisionnement ou l’authentification multifacteur sont les plus faibles, priorisez celles-ci.
7. Documenter, documenter, documenter. L’article 22(7) rend la coopération et la diligence démontrable matérielles au calcul de l’amende. Construisez la piste probante dès maintenant, pas après le premier audit.

Pour un manuel plus complet, le guide de conformité NIS2 traverse chaque obligation dans l’ordre.

Sources et références

Sources primaires :

• Luxembourg, loi du 5 mai 2026 sur des mesures destinées à assurer un niveau élevé de cybersécurité (Mémorial A 225). Texte intégral sur Legilux : legilux.public.lu/eli/etat/leg/loi/2026/05/05/a225/jo.
• Directive (UE) 2022/2555 (directive NIS 2). Page de référence : digital-strategy.ec.europa.eu/fr/policies/nis2-directive. Texte consolidé sur EUR-Lex : eur-lex.europa.eu/eli/dir/2022/2555/oj.
• Règlement (UE) 2022/2554 (DORA), et l’exclusion sectorielle correspondante au titre de l’article 1(5) de la loi NIS2.
• Recommandation 2003/361/CE de la Commission concernant la définition des micro, petites et moyennes entreprises.

Organismes luxembourgeois :

• Institut Luxembourgeois de Régulation (ILR), autorité compétente : ilr.lu/en/sectors/niss/nis-2.
• Haut-Commissariat à la Protection nationale (HCPN), point de contact unique et autorité de gestion des crises cyber.
• GOVCERT.LU (opéré par le HCPN), CSIRT national et gouvernemental.
• CIRCL (opéré par le GIE Luxembourg House of Cybersecurity), CSIRT pour les entités essentielles et importantes du secteur privé et coordinateur pour la divulgation des vulnérabilités.
• Commission de surveillance du secteur financier (CSSF), autorité compétente pour la banque, les infrastructures des marchés financiers, et les activités d’infrastructure numérique et de gestion des services TIC supervisées par la CSSF.

Cet article reflète la loi telle que publiée le 5 mai 2026. L’ILR et la CSSF publieront des règlements et circulaires d’application dans les mois à venir ; consultez le portail NIS2 de l’ILR pour les orientations officielles les plus récentes avant de finaliser les décisions opérationnelles.