norppa.io
Tous les pays

NIS2 par pays

NIS2 — Luxembourg

Loi nationale en vigueurStatut vérifié: 2026-06

Autorité compétente

ILR — Institut Luxembourgeois de Régulation

CSIRT national — notification d'incident

GOVCERT.LU

Loi nationale

Loi du 6 mai 2026 (NIS2)

La transposition nationale évolue. Confirmez toujours le statut actuel auprès de l'autorité ci-dessous et dans le tracker de transposition de la Commission européenne. Tracker de transposition UE

Dates clés

  • 2026-05-10En vigueur depuis

Qui est concerné ici

Le champ d'application de NIS2 est fixé au niveau UE et s'applique dans chaque État membre. Vous êtes généralement concerné si vous opérez dans un secteur de l'annexe I à haute criticité (énergie, transport, banque, santé, eau potable/usées, infrastructure numérique, gestion TIC, administration publique, espace) ou un secteur de l'annexe II (postal, déchets, produits chimiques, alimentaire, fabrication, fournisseurs numériques, recherche) et atteignez le seuil de taille — au moins 50 salariés, ou chiffre d'affaires ou total de bilan supérieur à 10 millions €. Certaines entités (DNS/TLD, services de confiance, communications électroniques publiques, fournisseur unique d'un service essentiel) sont concernées quelle que soit leur taille, et même non désigné, vos clients concernés vous transfèrent les obligations par contrat.

Notifier un incident & s'enregistrer

Si un incident important affecte vos services, NIS2 exige une alerte précoce sous 24 heures, une notification sous 72 heures et un rapport final sous un mois (art. 23) — et l'incident d'un fournisseur peut aussi démarrer votre compte à rebours. La plupart des entités concernées doivent aussi s'enregistrer auprès de l'autorité nationale. Utilisez l'autorité et le CSIRT ci-dessus pour le canal national de notification et d'enregistrement.

Notification d'incident NIS2 : les délais de 24/72 heures

Sanctions

NIS2 fixe des amendes maximales à l'échelle de l'UE — jusqu'à 10 millions € ou 2 % du chiffre d'affaires annuel mondial (le montant le plus élevé) pour les entités essentielles, et jusqu'à 7 millions € ou 1,4 % pour les entités importantes (art. 34). L'organe de direction doit approuver et superviser les mesures et peut être tenu responsable (art. 20). La transposition nationale peut ajouter des spécificités — confirmez auprès de l'autorité.

Aller plus loin

Qui est concerné par NIS2 ?Notification d'incident NIS2 : les délais de 24/72 heures

Comment norppa.io aide ici

norppa.io surveille en continu le cyberrisque de vos fournisseurs et cartographie chaque constat vers les articles NIS2 — dans la langue de ce pays et sept autres. Les mêmes preuves alimentent votre dossier fournisseur et les questions d'une autorité de contrôle, où que vous opériez dans l'UE.

Cette page est informative, pas un conseil juridique. Confirmez les exigences contraignantes auprès de l'autorité nationale et de votre conseil juridique.

Voir une surveillance fournisseurs de niveau NIS2

Un exemple de rapport fournisseur — constats, cartographie NIS2 et preuves — en deux minutes.

Voir l'exemple de rapport