+32(0)475337590

info@lawgitech.eu

Web Design

Your content goes here. Edit or remove this text inline.

Logo Design

Your content goes here. Edit or remove this text inline.

Web Development

Your content goes here. Edit or remove this text inline.

White Labeling

Your content goes here. Edit or remove this text inline.

VIEW ALL SERVICES 

NIS2 Luxemburg: de wet van 5 mei 2026 ontleed

By Lawgitech

28 mai 2026
NIS2 LuxemNIS2 Luxemburg — omzetting EU-richtlijn 2022/2555 (ILR-infographic)bourg — transposition of EU Directive 2022/2555 (ILR infographic)

Luxemburg heeft de Europese NIS2-richtlijn omgezet via de wet van 5 mei 2026 (Mémorial A nr. 225), die op 10 mei 2026 in werking is getreden. De wet vervangt de vorige NIS1-wet van 28 mei 2019, breidt de gereguleerde cybersecurity uit naar 15 sectoren en legt aan essentiële en belangrijke entiteiten op: (i) geharmoniseerde risicobeheermaatregelen, (ii) incidentmelding aan de ILR via SERIMA volgens een 24u/72u/1-maand schema, (iii) directe aansprakelijkheid van de leidinggevende organen, en (iv) verplichte zelfregistratie. De administratieve boetes lopen op tot 10 miljoen euro of 2 % van de wereldwijde omzet voor essentiële entiteiten.

1. Wat houdt de nieuwe Luxemburgse NIS2-wet in?

De wet van 5 mei 2026 betreffende maatregelen om een hoog niveau van cybersecurity te waarborgen zet de Richtlijn (EU) 2022/2555 van 14 december 2022 (NIS2) om in Luxemburgs recht. De wet werd gepubliceerd in Mémorial A nr. 225 op 6 mei 2026 en is van toepassing sinds 10 mei 2026.

Deze omzetting heeft drie structurele gevolgen:

  • Ze schaft de NIS1-wet van 28 mei 2019 af, evenals de artikelen 42 en 43 van de wet van 17 december 2021 inzake elektronische communicatienetwerken en -diensten;
  • Ze wijzigt drie bestaande teksten: de gewijzigde wet van 14 augustus 2000 inzake elektronische handel, de gewijzigde wet van 23 juli 2016 tot oprichting van het Hoge Commissariaat voor de Nationale Bescherming, en de bovengenoemde wet van 17 december 2021;
  • Ze werkt samen met de Uitvoeringsverordening (EU) 2024/2690 van 17 oktober 2024, die rechtstreeks toepasselijk is en de technische vereisten preciseert voor bepaalde soorten entiteiten (DNS-aanbieders, registers, cloudaanbieders, datacenters, enz.).

De bevoegde autoriteit blijft het Luxembourg Institute of Regulation (ILR), via zijn NISS-afdeling, met ondersteuning van het platform SERIMA voor incidentmeldingen.

2. Valt uw organisatie onder de wet? Sectoren en de size-cap regel

De Luxemburgse NIS2-wet is van toepassing op entiteiten die actief zijn in een van de sectoren opgesomd in de bijlagen I en II. Deze 15 sectoren bundelen operatoren die kritiek worden geacht voor de goede werking van de interne markt: energie, vervoer, gezondheid, drinkwater, afvalwater, digitale infrastructuur, beheer van B2B ICT-diensten, openbaar bestuur, ruimtevaart, post- en koeriersdiensten, afvalbeheer, chemische productie, voedselproductie, productie, digitale dienstverleners en onderzoek.

Om standaard onder de wet te vallen, moet een entiteit de drempel van de « size-cap » overschrijden, afgeleid van Aanbeveling 2003/361/EG:

  • Middelgrote entiteit: 50 tot 249 werknemers OF omzet tussen 10 M€ en 50 M€ OF balanstotaal tussen 10 M€ en 43 M€;
  • Grote entiteit: één van deze drempels overschreden;
  • De berekening gebeurt op groepsniveau (onderzochte entiteit + 100 % van de verbonden ondernemingen + pro rata van de partnerondernemingen).

Drie nuances verdienen aandacht. Ten eerste vallen sommige sectoren onder de wet ongeacht hun grootte: aanbieders van openbare elektronische communicatie, aanbieders van vertrouwensdiensten, registers van topleveldomeinen en DNS-aanbieders. Ten tweede kan een entiteit specifiek als essentieel of belangrijk worden aangewezen op grond van andere criteria (kritieke entiteit in de zin van de CER-richtlijn, enige aanbieder in zijn domein, enz.). Ten derde bepaalt de kwalificatie als essentiële of belangrijke entiteit het toezichtregime dat van toepassing is.

3. Belangrijkste verplichtingen

3.1. Technische en organisatorische maatregelen (artikel 21 van de richtlijn)

Essentiële en belangrijke entiteiten moeten « passende en evenredige » maatregelen treffen die ten minste tien domeinen bestrijken: beleid inzake risicoanalyse en beveiliging van informatiesystemen; incidentbeheer; bedrijfscontinuïteit (back-ups, herstel, crisisbeheer); beveiliging van de toeleveringsketen; beveiliging bij aankoop, ontwikkeling en onderhoud; evaluatie van de doeltreffendheid van de maatregelen; basis cyberhygiëne en opleiding; cryptografie en versleuteling; HR-beveiliging, toegangscontrole en beheer van bedrijfsmiddelen; multifactorauthenticatie en beveiligde communicatie.

3.2. Incidentmelding: het 24u / 72u / 1-maand schema

De Luxemburgse wet neemt het Europees geharmoniseerde proces over, geactiveerd via het SERIMA-platform:

  1. Vroegtijdige waarschuwing – 24 uur na detectie: melding zonder onnodige vertraging, zelfs als de impact nog niet volledig is bepaald;
  2. Incidentmelding – 72 uur na detectie (art. 23, lid 4, b) van de richtlijn): gestructureerde update van de informatie, eerste inschatting van ernst en impact, indicatoren van compromittering indien beschikbaar;
  3. Eindverslag – 1 maand na de formele melding, met mogelijke verlenging van 1 maand (tussentijds verslag vereist in dat geval).

3.3. Directe aansprakelijkheid van de leidinggevende organen (artikel 20)

Dit is de meest structurele nieuwigheid voor raden van bestuur en bestuurders: de leidinggevende organen moeten de maatregelen voor cybersecurity-risicobeheer goedkeuren, de uitvoering ervan superviseren en kunnen persoonlijk aansprakelijk worden gesteld bij inbreuken. Zij zijn bovendien onderworpen aan een verplichting van regelmatige cybersecurity-opleiding. De ILR heeft specifieke NIS2-richtsnoeren voor leidinggevende organen gepubliceerd die bestuursorganen onverwijld zouden moeten auditen.

3.4. Verplichte zelfregistratie

Elke entiteit binnen het toepassingsgebied moet zichzelf bij de ILR registreren via het online formulier. Deze declaratieve procedure legt de verantwoordelijkheid bij de entiteit om haar eigen kwalificatie te bepalen (essentieel/belangrijk).

4. Welke sancties bij niet-naleving?

NIS2 — en dus de Luxemburgse omzettingswet — legt aanzienlijke administratieve boetes op:

  • Essentiële entiteiten (art. 34, lid 4 van de richtlijn): administratieve boetes met een maximumbedrag van ten minste 10 000 000 € of 2 % van de totale wereldwijde jaaromzet van het voorgaande boekjaar, het hoogste bedrag geldt;
  • Belangrijke entiteiten (art. 34, lid 5): administratieve boetes met een maximumbedrag van ten minste 7 000 000 € of 1,4 % van de totale wereldwijde jaaromzet, het hoogste bedrag geldt.

Daarnaast zijn er corrigerende maatregelen (bevelen, verplichte audits, tijdelijke schorsing van certificeringen, of zelfs een tijdelijk verbod om bestuursfuncties uit te oefenen). Het toezichtregime verschilt per categorie: ex ante en ex post voor essentiële entiteiten (volledig toezicht), enkel ex post voor belangrijke entiteiten (met de mogelijkheid voor de ILR om bij een incident aanvullende informatie op te vragen).

5. Tijdslijn en onmiddellijke acties: de compliance-checklist

De aanbevolen operationele volgorde:

  1. Kwalificatie (weken 1-2) – Breng uw activiteiten in kaart ten opzichte van bijlagen I/II en pas de geconsolideerde size-cap-test op groepsniveau toe;
  2. Zelfregistratie (week 2) – Vul het ILR/NISS-formulier in via guichet.ilr.lu en duid een contactpersoon aan;
  3. Gap-analyse (weken 3-6) – Evalueer het verschil tussen uw huidige systeem en de tien maatregelen van artikel 21 (idealiter ten opzichte van ISO/IEC 27001, NIST CSF of het Belgische CyFun-referentiekader voor BE-dochters);
  4. Governance (weken 4-8) – Laat het bestuur het conformiteitsplan goedkeuren; plan de verplichte cyberopleiding voor bestuurders;
  5. Onderaanneming (weken 6-12) – Audit de IT-leverancierscontracten (beveiligingsclausules, auditrecht, incidentmelding, afstemming met AVG art. 28);
  6. Incidentprocedures (weken 8-10) – Implementeer het 24u/72u/1-maand draaiboek, maak het SERIMA-account aan, test via een tabletop-oefening;
  7. Documentatie (doorlopend) – Houd een register bij van cyberbeslissingen en uitgevoerde acties (bewijs van due diligence bij een ILR-controle).

6. FAQ – De vragen van onze klanten

Onze Luxemburgse dochteronderneming behoort tot een buitenlandse groep: wie moet zich conformeren?
De wet is van toepassing op de in Luxemburg gevestigde entiteit. De berekening van de size-cap houdt echter rekening met de groepsgegevens (verbonden ondernemingen + pro rata partners). Een geïsoleerde KMO kan dus in scope vallen als haar groep de drempels overschrijdt.

Hoe verhoudt NIS2 zich tot de AVG?
De meldingsverplichtingen zijn cumulatief: één incident kan zowel een NIS2-melding aan de ILR (24u/72u) als een AVG-melding aan de CNPD (72u, art. 33 AVG) activeren. Het register van verwerkingsactiviteiten (art. 30 AVG) en het cyber NIS2-register moeten apart maar coherent worden bijgehouden. Daarentegen voorziet artikel 35, lid 2 van de NIS2-richtlijn een anti-cumulatieregel voor administratieve boetes: indien de CNPD een AVG-boete oplegt (art. 58, lid 2, i AVG) voor hetzelfde gedrag, mag de ILR geen NIS2-boete opstapelen (maar behoudt zij haar andere corrigerende maatregelen).

En DORA?
Voor financiële entiteiten onderworpen aan DORA (Verordening (EU) 2022/2554) geldt DORA als lex specialis voor de cybersecurity-aspecten die het dekt. De Luxemburgse NIS2-wet blijft relevant voor domeinen die niet door DORA worden bestreken.

Hoeveel tijd hebben we om ons te conformeren?
De wet is van kracht sinds 10 mei 2026 zonder algemene overgangsperiode. De ILR neemt een pragmatische houding aan tijdens de beginfase, maar de verplichtingen zijn juridisch afdwingbaar vanaf vandaag — in het bijzonder de zelfregistratie.

Hebben we zowel een DPO als een CISO nodig?
De wet vereist niet formeel een aangewezen CISO, maar de operationele verantwoordelijkheid voor cybermaatregelen moet worden toegewezen. In de praktijk werken CISO en DPO als duo. De DPO behoudt zijn exclusieve rol voor persoonsgegevens.

Conclusie: een paradigmaverschuiving in cybersecurity

De wet van 5 mei 2026 is geen louter technische update: ze verankert cybersecurity op het hoogste niveau van corporate governance, verruimt aanzienlijk het toepassingsgebied van gereguleerde entiteiten en installeert een afschrikkend sanctieregime. Voor Luxemburgse organisaties en groepen met een aanwezigheid in het Groothertogdom is het tijd om dit regelgevend kader om te zetten in een strategisch voordeel op het vlak van weerbaarheid.

Dit artikel werd opgesteld door Lawgitech, het eerste Belgische advocatenkantoor gespecialiseerd in het recht van artificiële intelligentie, digitaal recht en cybersecurity (Brussel & Luxemburg). Wij begeleiden KMO’s, grote ondernemingen en publieke instellingen bij hun NIS2-, DORA-, AVG- en AI Act-compliance. Neem contact met ons op voor een NIS2-blootstellingsaudit.

📚 Verder lezen: ons platform Lawgitech Academy biedt een gecertificeerde NIS2-opleiding aan (permanente vormingspunten voor juristen).

Officiële bronnen

En savoir plus sur Lawgitech

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture