NIS2 en Luxembourg

1. Aperçu rapide de l'applicabilité pour les PME au Luxembourg

La NIS2 s'applique-t-elle aux PME en 1. Aperçu rapide de l'applicabilité pour les PME au Luxembourg ?

Oui — selon le secteur et la taille.

• Applicabilité automatique aux entités de taille moyenne (≥50 employés et ≥€10 million de chiffre d'affaires ou de total de bilan) exerçant des activités dans les secteurs couverts.
• Les petites ou microentités ne sont incluses que si elles sont formellement désignées ou si elles exercent des activités dans des secteurs à haute criticité.
• S'applique aux entités établies au Luxembourg et, dans certains cas, aux prestataires numériques étrangers desservant le marché luxembourgeois.

Les PME doivent évaluer leur éligibilité au regard du cadre national luxembourgeois de cybersécurité, en fonction de la classification sectorielle et des seuils légaux.

2. Vue d'ensemble de la mise en œuvre de NIS2 au Luxembourg

Le Luxembourg transpose la NIS2 par le Projet de loi 8364 (Projet de loi n° 8364 concernant des mesures destinées à assurer un niveau élevé de cybersécurité), déposé à la Chambre des Députés le 13 mars 2024. En avril 2026, le Projet n'a pas encore été adopté — le Luxembourg n'a pas respecté le délai européen de transposition du 17 octobre 2024 et a reçu un avis motivé de la CE en mai 2025 pour défaut de notification de transposition complète.

Le Conseil d'État a rendu un avis complémentaire en décembre 2025 validant partiellement les amendements gouvernementaux ; le Projet attend son adoption définitive. Le cadre NIS1 reste applicable dans l'intervalle.

Une fois adopté, le Projet remplacera la loi NIS1 et introduira un champ d'application sensiblement élargi — d'environ 1 000 entités sous NIS1 à environ 6 000–8 000 sous NIS2, dont les fabricants de taille moyenne et les communes de plus de 50 000 habitants. Le modèle de supervision proposé est une structure d'autorité partagée : l'Institut Luxembourgeois de Régulation (ILR) sera l'autorité compétente pour la grande majorité des secteurs, tandis que la Commission de Surveillance du Secteur Financier (CSSF) supervisera la banque, les infrastructures des marchés financiers, les infrastructures numériques et la gestion des services TIC pour les entités financières. Le HCPN conserve la responsabilité de la coordination stratégique. L'ILR a déjà lancé la plateforme SERIMA comme portail centralisé de notification d'incidents et, à terme, d'enregistrement.

3. Champ d'application au Luxembourg

Le champ d'application du Luxembourg reflète les catégories sectorielles minimales de la directive, sans expansion structurelle confirmée.

4. Seuils de taille et applicabilité aux PME au Luxembourg

Les seuils de base s'appliquent :

• ≥50 employés, et
• ≥€10 million de chiffre d'affaires annuel ou de total de bilan.

Les entités remplissant les deux critères dans les secteurs couverts sont automatiquement dans le champ d'application.

Les petites et micro-entreprises peuvent être désignées si elles sont jugées critiques pour la sécurité nationale, la stabilité économique ou la continuité des services essentiels.

Les autorités luxembourgeoises conservent des pouvoirs formels de désignation lorsque le risque systémique justifie l'inclusion.

5. Cadre de classification des entités au Luxembourg

Les entités sont classées comme suit :

• Entités essentielles — Soumises à une supervision proactive, incluant des inspections et un suivi structuré de la conformité.
• Entités importantes — Principalement soumises à une supervision réactive déclenchée par des incidents significatifs ou des préoccupations en matière de conformité.

La classification est déterminée par le secteur et la taille. Les autorités peuvent reclasser des entités lorsque l'impact opérationnel ou l'exposition au risque justifient une supervision renforcée.

Luxembourg applique la structure de supervision à deux niveaux de la directive.

6. Exigences de gestion des risques en cybersécurité au Luxembourg

Le régime national du Luxembourg est aligné sur le socle de la directive pour la gestion des risques en cybersécurité. Les entités concernées doivent mettre en œuvre des mesures techniques et organisationnelles proportionnées couvrant :

• Analyse des risques et protection des systèmes
• Détection et réponse aux incidents
• Continuité des activités et gestion de crise
• Contrôles des risques de la chaîne d'approvisionnement NIS2 au Luxembourg
• Acquisition et développement sécurisés des systèmes TIC
• Contrôle d'accès et gestion des identités
• Chiffrement et mesures de protection cryptographiques
• Procédures de gestion des vulnérabilités
• Formation du personnel à la cybersécurité

Les mesures doivent refléter l'état de l'art et l'exposition aux risques de l'organisation. L'alignement sur ISO/IEC 27001 et les orientations en matière de cybersécurité du Luxembourg est encouragé.

7. Responsabilité des dirigeants et gouvernance au Luxembourg

Les organes de direction doivent approuver formellement les mesures de gestion des risques en cybersécurité et en superviser la mise en œuvre.

Dans le cadre luxembourgeois :

• Les conseils d'administration sont responsables de la surveillance de la conformité.
• La haute direction doit garantir des compétences suffisantes en cybersécurité.
• Des sanctions administratives peuvent viser les défaillances de gouvernance.
• La suspension temporaire de fonctions de direction peut être prévue dans le cadre de mécanismes d'application alignés sur la Directive.

Les attentes en matière de responsabilité des dirigeants au titre de NIS2 au Luxembourg élèvent la gouvernance de la cybersécurité au rang de responsabilité au niveau exécutif.

8. Obligations de notification des incidents au Luxembourg

9. Autorités de supervision et modèle d'application au Luxembourg

Autorité compétente principale (proposée par le Projet 8364, non encore adopté) : Institut Luxembourgeois de Régulation (ILR) pour la grande majorité des secteurs ; Commission de Surveillance du Secteur Financier (CSSF) pour la banque, les infrastructures des marchés financiers et les infrastructures numériques et la gestion des services TIC associées. Le HCPN (Haut-Commissariat à la Protection nationale) conserve la responsabilité de la coordination stratégique de la politique nationale de cybersécurité, mais n'est pas l'autorité principale d'exécution.

Le modèle proposé par le Luxembourg sous le Projet 8364 est une structure de supervision partagée : l'ILR pilote la plupart des secteurs et la CSSF les entités financières, le HCPN assurant la coordination stratégique nationale. Cette structure n'est pas encore juridiquement opérationnelle — le cadre NIS1 et ses dispositions de supervision actuelles restent applicables dans l'attente de l'adoption.

Les pouvoirs de supervision comprennent :

• Demandes de documentation et d’informations
• Audits de sécurité
• Inspections sur site
• Instructions contraignantes en matière de conformité
• Participation aux mécanismes de coordination de la cybersécurité de l’UE

La structure d'exécution proposée s'aligne sur les exigences de coopération de la Directive. Ces pouvoirs de supervision et d'exécution ne sont pas encore juridiquement opérationnels dans l'attente de l'adoption du Projet 8364.

10. Amendes et sanctions NIS2 au Luxembourg

Le Luxembourg applique des sanctions administratives alignées sur la directive.

L’application des amendes NIS2 au Luxembourg peut également inclure :

• Injonctions de remédiation contraignantes
• Identification publique des entités non conformes
• Suspension des autorisations ou des certifications
• Pouvoirs de suspension des dirigeants

Entités Importantes : jusqu'à 7 millions d'€ ou 1,4 % du chiffre d'affaires annuel mondial total (le montant le plus élevé étant retenu).

11. Sécurité de la chaîne d’approvisionnement et des fournisseurs au titre de NIS2 au Luxembourg

Les entités doivent gérer l’exposition aux risques de cybersécurité liés aux tiers au moyen de :

• Évaluations des risques fournisseurs
• Clauses contractuelles de répercussion des exigences de sécurité (flow-down)
• Surveillance continue des fournisseurs TIC
• Analyse du risque de concentration
• Atténuation de la propagation des incidents

L’approche du Luxembourg est conforme aux attentes de base de la Directive en matière de gestion des risques liés aux fournisseurs.

12. Obligations d’enregistrement et d’auto-identification au Luxembourg

Les entités relevant du champ d’application doivent :

• Sous le Projet 8364 (non encore adopté), les entités s'enregistreront elles-mêmes via la plateforme SERIMA de l'ILR. Les entités déjà couvertes par NIS1 seront automatiquement classées comme entités essentielles, l'auto-enregistrement restant toutefois recommandé. Il n'existe actuellement aucune obligation d'enregistrement NIS2 au Luxembourg — le cadre NIS1 s'applique dans l'attente de l'adoption.
• Fournir les données d'identification de l'entreprise
• Communiquer la classification sectorielle
• Maintenir à jour les contacts de notification

Les délais d'enregistrement et les calendriers de conformité seront fixés après l'adoption du Projet 8364. Sur la base des orientations disponibles, l'enregistrement via le portail de l'ILR est attendu dans les mois suivant l'adoption, avec un échelonnement progressif des contrôles de gouvernance et de la conformité technique complète.

L'auto-identification sera obligatoire sous la loi adoptée. Les entités devraient mener dès maintenant des évaluations de périmètre en utilisant les orientations et FAQ publiées par l'ILR pour déterminer leur classification probable comme essentielles ou importantes, en préparation de l'adoption.

13. Interaction avec le GDPR et d'autres lois au Luxembourg

Le General Data Protection Regulation continue de s'appliquer concurremment.

Les considérations de chevauchement incluent :

• Notification d'une violation de données à caractère personnel dans les 72 heures
• Coordination avec l'autorité de contrôle
• Enquêtes parallèles en matière de cybersécurité et de protection des données
• Législation luxembourgeoise spécifique au secteur en matière de cybersécurité

Un incident de cybersécurité peut déclencher des obligations de notification au titre des deux régimes.

14. Applicabilité transfrontalière

Les entités ayant leur établissement principal au Luxembourg sont supervisées par les autorités luxembourgeoises pour les services transfrontaliers.

Les fournisseurs numériques étrangers offrant des services au Luxembourg peuvent être soumis à des obligations nationales en fonction de la structure de leur établissement.

Les exigences de représentation suivent les normes de la directive pour les fournisseurs hors EU desservant le marché luxembourgeois.

15. Calendrier de mise en œuvre au Luxembourg

• Adoption de la Directive : 2022
• Amendements législatifs nationaux : Projet 8364 (Projet de loi n° 8364) déposé à la Chambre des Députés le 13 mars 2024 ; amendement gouvernemental publié le 13 mars 2025 ; avis complémentaire du Conseil d'État rendu en décembre 2025 — validant partiellement les amendements et demandant des ajustements supplémentaires ; Projet en attente d'adoption définitive.
• Entrée en vigueur : Non encore adopté en avril 2026 ; adoption attendue au cours de 2026 ; la loi NIS1 reste en vigueur dans l'intervalle.
• Notification à la Commission : Avis motivé de la CE rendu le 7 mai 2025 pour défaut de notification de transposition complète ; un renvoi devant la Cour de justice de l'UE reste possible en cas de retard supplémentaire.
• Jalon de conformité : Aucune échéance NIS2 actuellement active ; les jalons d'enregistrement, organisationnels et techniques seront fixés après l'adoption et devraient être échelonnés sur 2026–2028.

Le Luxembourg n'a pas respecté le délai européen de transposition NIS2 du 17 octobre 2024 et reste sous procédure d'infraction de la CE. Le Projet 8364 est en attente d'adoption définitive par la Chambre des Députés. NIS1 reste applicable aux entités régulées existantes. L'adoption et le lancement du portail d'enregistrement de l'ILR sont attendus au cours de 2026 ; les entités devraient préparer dès maintenant leurs évaluations de périmètre.

16. Points clés pour les PME au Luxembourg

• Les entités de taille moyenne dans les secteurs couverts entreront automatiquement dans le champ d'application une fois le Projet 8364 adopté. Le périmètre proposé par le Luxembourg est sensiblement plus large que NIS1 — passant d'environ 1 000 à environ 6 000–8 000 entités, dont les fabricants de taille moyenne et les communes de plus de 50 000 habitants.
• Les petites entités peuvent être désignées si elles sont critiques pour la stabilité nationale ou économique.
• La supervision de la gouvernance au niveau du conseil est obligatoire.
• La notification d'incidents suivra les délais 24h / 72h / 1 mois une fois le Projet 8364 adopté. Les rapports seront soumis via la plateforme SERIMA de l'ILR — à l'ILR pour la plupart des secteurs et à la CSSF pour les entités du secteur financier.
• Les sanctions financières peuvent atteindre 10 millions d'€ ou 2 % du chiffre d'affaires mondial.
• La gestion des risques fournisseurs est requise.
• Le Projet 8364 n'a pas encore été adopté, mais l'adoption est attendue au cours de 2026. Les entités devraient mener dès maintenant des évaluations de périmètre en utilisant les orientations et FAQ publiées par l'ILR, déterminer si elles relèvent de la supervision de l'ILR ou de la CSSF, et préparer les informations d'enregistrement pour le portail SERIMA.

FAQ : Guide NIS2 pour les PME au Luxembourg