NIS2 Luxembourg : la loi du 5 mai 2026 décryptée

NIS2 LuxemNIS2 Luxemburg — omzetting EU-richtlijn 2022/2555 (ILR-infographic)bourg — transposition of EU Directive 2022/2555 (ILR infographic)

Le Luxembourg vient de transposer la directive européenne NIS2 par la loi du 5 mai 2026 (Mémorial A n° 225), entrée en vigueur le 10 mai 2026. Elle remplace l’ancienne loi NIS1 du 28 mai 2019, étend la cybersécurité réglementaire à 15 secteurs et impose aux entités essentielles et importantes : (i) des mesures de gestion des risques harmonisées, (ii) la notification d’incidents à l’ILR via SERIMA selon un calendrier 24h/72h/1 mois, (iii) une responsabilité directe des organes de direction, et (iv) un auto-enregistrement obligatoire. Les sanctions atteignent 10 M€ ou 2 % du chiffre d’affaires mondial pour les entités essentielles.

1. Quelle est cette nouvelle loi luxembourgeoise NIS2 ?

La loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité transpose en droit luxembourgeois la Directive (UE) 2022/2555 du 14 décembre 2022 (NIS2). Publiée au Mémorial A n° 225 le 6 mai 2026, elle est entrée en application le 10 mai 2026.

Cette loi de transposition produit trois effets structurants :

  • Elle abroge la loi NIS1 du 28 mai 2019 ainsi que les articles 42 et 43 de la loi du 17 décembre 2021 sur les réseaux et services de communications électroniques ;
  • Elle modifie trois textes existants : la loi modifiée du 14 août 2000 sur le commerce électronique, la loi modifiée du 23 juillet 2016 portant création d’un Haut-Commissariat à la Protection nationale, et la loi du 17 décembre 2021 précitée ;
  • Elle s’articule avec le règlement d’exécution (UE) 2024/2690 du 17 octobre 2024, directement applicable, qui précise les exigences techniques pour certains types d’entités (fournisseurs DNS, registres, cloud, datacenters, etc.).

L’autorité compétente reste l’Institut Luxembourgeois de Régulation (ILR), via son service NISS, secondé par la plateforme SERIMA pour la notification d’incidents.

2. Votre entreprise est-elle concernée ? Périmètre et règle du size-cap

La loi NIS2 luxembourgeoise s’applique aux entités exerçant dans l’un des secteurs listés à ses annexes I et II. Ces 15 secteurs regroupent les opérateurs jugés critiques pour le bon fonctionnement du marché intérieur : énergie, transport, santé, eau potable, eaux usées, infrastructure numérique, gestion de services TIC interentreprise, administration publique, espace, services postaux, gestion des déchets, fabrication chimique, agroalimentaire, fabrication, fournisseurs numériques et recherche.

Pour qu’une entité tombe par défaut dans le champ d’application, elle doit franchir le seuil du « size-cap » issu de la recommandation 2003/361/CE :

  • Entité moyenne : 50 à 249 employés OU chiffre d’affaires entre 10 M€ et 50 M€ OU total bilan entre 10 M€ et 43 M€ ;
  • Entité large : tout dépassement de ces seuils ;
  • Le calcul s’effectue au niveau du groupe (entreprise sous examen + 100 % des données des entreprises liées + prorata des entreprises partenaires).

Trois nuances méritent attention. Premièrement, certains secteurs sont soumis à la loi indépendamment de leur taille : fournisseurs de communications électroniques publiques, prestataires de services de confiance, registres de noms de domaine de premier niveau et fournisseurs DNS. Deuxièmement, une entité peut être désignée comme essentielle ou importante par critère spécifique (entité critique au sens de la directive CER, fournisseur unique dans son domaine, etc.). Troisièmement, la qualification d’entité essentielle ou importante conditionne le régime de supervision applicable.

3. Les obligations clés à respecter

3.1. Mesures techniques et organisationnelles (art. 21 de la directive)

Les entités essentielles et importantes doivent mettre en œuvre des mesures « appropriées et proportionnées » couvrant au minimum dix domaines : politiques d’analyse des risques et de sécurité des systèmes d’information ; gestion des incidents ; continuité d’activité (sauvegardes, reprise, gestion de crise) ; sécurité de la chaîne d’approvisionnement ; sécurité de l’acquisition, du développement et de la maintenance ; évaluation de l’efficacité des mesures ; cyberhygiène et formation ; cryptographie et chiffrement ; sécurité RH, contrôle d’accès, gestion des actifs ; authentification multi-facteurs et communications sécurisées.

3.2. Notification d’incident : le calendrier 24h / 72h / 1 mois

La loi luxembourgeoise reprend le processus européen harmonisé, déclenché par la plateforme SERIMA :

  1. Alerte précoce – 24 heures après détection : signalement sans retard injustifié, même si l’impact n’est pas encore qualifié ;
  2. Notification d’incident – 72 heures après détection (art. 23, §4, b) de la directive) : mise à jour structurée des informations, évaluation initiale de gravité et d’impact, indicateurs de compromission si disponibles ;
  3. Rapport final – 1 mois après la notification formelle, avec extension possible d’1 mois maximum (rapport intermédiaire requis dans l’intervalle).

3.3. Responsabilité directe des organes de direction (art. 20)

C’est la nouveauté la plus structurante pour les conseils d’administration et dirigeants : les organes de direction approuvent les mesures de gestion des risques, en supervisent la mise en œuvre et peuvent être tenus personnellement responsables de toute violation. Ils sont en outre soumis à une obligation de formation régulière à la cybersécurité. L’ILR a publié des guidelines spécifiques pour les organes de direction qu’il est vivement conseillé d’auditer dès maintenant.

3.4. Auto-enregistrement obligatoire

Toute entité dans le champ doit s’enregistrer elle-même auprès de l’ILR via le formulaire en ligne dédié. Cette démarche déclarative engage la responsabilité de l’entité quant à sa qualification (essentielle/importante).

4. Quelles sanctions en cas de non-conformité ?

La directive NIS2 — et donc la loi de transposition luxembourgeoise — impose des plafonds de sanctions administratives substantiels :

  • Entités essentielles (art. 34, §4 de la directive) : amendes administratives d’un montant maximal s’élevant à au moins 10 000 000 € ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu ;
  • Entités importantes (art. 34, §5) : amendes administratives d’un montant maximal s’élevant à au moins 7 000 000 € ou 1,4 % du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.

S’y ajoutent des mesures correctrices contraignantes (injonctions, audits forcés, suspension temporaire de certifications, voire interdiction temporaire d’exercer des fonctions de direction). Le régime de supervision diffère selon la catégorie : ex ante et ex post pour les entités essentielles (supervision « complète »), ex post uniquement pour les entités importantes (avec demande possible d’informations supplémentaires en cas d’incident).

5. Calendrier et actions immédiates : la checklist conformité

Voici l’ordre opérationnel recommandé par notre cabinet :

  1. Qualification (semaine 1-2) – Cartographier vos activités par rapport aux annexes I/II et appliquer le test du size-cap consolidé au niveau groupe ;
  2. Auto-enregistrement (semaine 2) – Compléter le formulaire ILR/NISS via guichet.ilr.lu et désigner un point de contact ;
  3. Gap analysis (semaines 3-6) – Évaluer l’écart entre votre dispositif actuel et les 10 mesures de l’article 21 (idéalement par référence à ISO/IEC 27001, NIST CSF ou au référentiel CyFun belge — utile en cas de filiales BE) ;
  4. Gouvernance (semaines 4-8) – Faire approuver le plan de mise en conformité par le conseil d’administration ; programmer la formation cyber obligatoire des dirigeants ;
  5. Sous-traitance (semaines 6-12) – Auditer les contrats fournisseurs IT (clauses de sécurité, droit d’audit, notification d’incident, alignement RGPD art. 28) ;
  6. Procédures d’incident (semaines 8-10) – Mettre en place le runbook 24h/72h/1 mois, créer le compte SERIMA, tester via un exercice de simulation ;
  7. Documentation (continu) – Tenir un registre des décisions cyber et des actions menées (preuve de diligence en cas de contrôle ILR).

6. FAQ – Les questions que nos clients nous posent

Notre filiale luxembourgeoise dépend d’un groupe étranger : qui doit se conformer ?
La loi s’applique à l’entité établie au Luxembourg. Le calcul du size-cap intègre toutefois les données du groupe (entreprises liées + prorata partenaires). Une PME isolée peut donc être qualifiée si son groupe excède les seuils.

Quelle articulation avec le RGPD ?
Les obligations sont cumulatives : un incident peut déclencher à la fois la notification NIS2 à l’ILR (24h/72h) et la notification RGPD à la CNPD (72 h, art. 33 RGPD). Le registre des activités de traitement (art. 30 RGPD) et le registre cyber NIS2 doivent être tenus séparément mais cohérents. En revanche, l’article 35, §2 de la directive NIS2 prévoit une règle anti-cumul pour les amendes : si la CNPD inflige une sanction RGPD (art. 58, §2, i RGPD) pour le même comportement, l’ILR ne peut pas cumuler une amende NIS2 (mais conserve ses autres mesures correctrices).

Et DORA ?
Pour les entités financières soumises à DORA (règlement (UE) 2022/2554), DORA prime comme lex specialis sur les volets cybersécurité couverts. La loi NIS2 luxembourgeoise reste pertinente pour les pans non couverts par DORA.

Combien de temps avons-nous pour nous mettre en conformité ?
La loi est entrée en vigueur le 10 mai 2026 sans période transitoire générale. L’ILR adopte une posture pragmatique en début d’application mais les obligations sont juridiquement exigibles dès aujourd’hui — notamment l’auto-enregistrement.

Faut-il un DPO et un RSSI distincts ?
La loi n’impose pas formellement un RSSI nommément désigné, mais la responsabilité opérationnelle des mesures cyber doit être attribuée. En pratique, RSSI et DPO travaillent en binôme. Le DPO conserve son rôle exclusif sur les données personnelles.

Conclusion : un changement de paradigme cyber

La loi du 5 mai 2026 ne se limite pas à une mise à jour technique : elle institutionnalise la cybersécurité au plus haut niveau de gouvernance, élargit considérablement le périmètre des entités assujetties et installe un régime de sanctions dissuasif. Pour les organisations luxembourgeoises et les groupes ayant une présence au Grand-Duché, le moment est venu de transformer ce cadre réglementaire en avantage stratégique de résilience.


Cet article a été préparé par Lawgitech, premier cabinet d’avocats belge spécialisé en droit de l’intelligence artificielle, du numérique et de la cybersécurité (Bruxelles & Luxembourg). Nous accompagnons les PME, grandes entreprises et institutions publiques dans leur mise en conformité NIS2, DORA, RGPD et AI Act. Contactez-nous pour un audit de votre exposition NIS2.

📚 Pour aller plus loin : notre plateforme Lawgitech Academy propose une formation certifiante NIS2 (crédits formation continue pour juristes).


Sources officielles

En savoir plus sur Lawgitech

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture