NIS2 au Luxembourg : architecture, portail ILR, sectoriel 2026
Le Luxembourg a transposé la directive NIS2 (UE 2022/2555) par la loi 8364, examinée en séance publique à la Chambre des députés le 28 avril 2026. Promulgation et publication au Mémorial A attendues dans les semaines suivantes. Le portail d'auto-enregistrement de l'ILR est ouvert depuis avril 2026, les contrôles complets démarrent en janvier 2027.
Ce guide est complémentaire à notre guide NIS2 général (France et Luxembourg). Il se concentre sur les spécificités luxembourgeoises : architecture tripartite HCPN / ILR / CSSF, procédure pas à pas d'auto-enregistrement, secteurs LU détaillés avec acteurs concrets, articulation avec DORA pour la finance, recoupement avec l'AI Act via l'ILR (singularité luxembourgeoise) et comparaison avec les approches France / Belgique / Allemagne.
Sources officielles utilisées : Chambre des députés du Luxembourg (chd.lu, dossier 8364), HCPN, ILR (ilr.lu/NIS2), CSSF (cssf.lu), Légilux, Service des médias et de la communication, ANSSI pour comparaison France.
Suis-je concerné : sectoriel luxembourgeois
Tableau de décision orienté secteurs luxembourgeois. Deux critères cumulatifs restent ceux de la directive : appartenance à un secteur annexe I ou II et atteinte des seuils de taille. Cas particuliers : DNS, registres TLD, services de confiance qualifiés et services d'enregistrement sont concernés quelle que soit la taille.
| Secteur luxembourgeois | Catégorie typique | Autorité de supervision | Recoupement |
|---|---|---|---|
| Banques, sociétés de gestion d'OPC, AIFM, PSF (annexe I). | Entité essentielle | CSSF + ILR | DORA (lex specialis depuis 17 janvier 2025), AI Act si IA haut risque. |
| Compagnies d'assurance et de réassurance. | Entité essentielle | CAA + ILR | Solvabilité II, DORA, IDD. |
| Énergie : Encevo, Creos, Sudgaz, Enovos, opérateurs de réseaux et fournisseurs. | Entité essentielle | ILR | CER (résilience entités critiques), AI Act si IA haut risque sur le smart grid. |
| Telecom : POST Luxembourg, Tango, Orange, Proximus Luxembourg. | Entité essentielle | ILR | Code des communications électroniques, eIDAS 2 (services de confiance). |
| Transport : CFL, Cargolux, Luxair, Luxairport, transports publics. | Entité essentielle | ILR + ministères de tutelle | Régulations sectorielles aérien, ferroviaire, routier. |
| Santé : hôpitaux (CHL, HRS, CHEM, ZithaKlinik), laboratoires, fournisseurs MDR. | Entité essentielle | ILR + Direction de la santé (ALMPS en cours de création, PL 8491) | MDR, IVDR, EHDS, AI Act si IA diagnostique. |
| Services numériques : datacenters (LuxConnect, EBRC, Datacenter Luxembourg), hébergeurs cloud, registres de noms de domaine, fournisseurs SaaS critiques. | Entité essentielle ou importante selon taille | ILR | DSA, DMA, eIDAS 2. |
| Services postaux (POST Luxembourg pour le courrier et la logistique critiques). | Entité essentielle | ILR | Régulation postale. |
| Fabrication industrielle (annexe II) : agroalimentaire, chimie, dispositifs médicaux, machines. | Entité importante | ILR | MDR (santé), AI Act si IA intégrée à des produits. |
| Administration publique luxembourgeoise (centrale et communes). | Entité essentielle | HCPN + ILR | RGAA / RAWeb (accessibilité), AI Act administratif. |
| DNS, TLD, services de confiance qualifiés, services d'enregistrement. | Concerné quelle que soit la taille | ILR | eIDAS 2. |
| PME luxembourgeoise < 50 salariés et < 10 M€ de CA, hors secteurs critiques spécifiques. | Non concerné directement | - | Reste exposé via effet cascade (sous-traitance d'EE/EI). |
Effet cascade pour les sous-traitants : un prestataire IT, une infogérance ou un éditeur SaaS critique d'une entité essentielle ou importante luxembourgeoise est exposé via les clauses de sécurité contractuelle exigées par NIS2 sur la chaîne d'approvisionnement. Il n'est pas formellement enregistré à l'ILR mais doit s'aligner sur les exigences de ses clients régulés.
Architecture tripartite HCPN / ILR / CSSF
Le Luxembourg a choisi une architecture distribuée pour la transposition NIS2, formalisée par la loi 8364. Trois acteurs principaux interviennent à des niveaux complémentaires.
HCPN - coordination stratégique et représentation européenne
Le Haut-Commissariat à la Protection nationale (placé sous l'autorité directe du Premier ministre) assure la coordination stratégique nationale en matière de cybersécurité, représente le Grand-Duché auprès de la Commission européenne et de l'ENISA, et coordonne avec les services de renseignement et la justice les situations de crise cyber. Côté NIS2, le HCPN définit la stratégie nationale de cybersécurité, la doctrine de gestion des incidents majeurs, et l'articulation civilo-militaire en cas de crise. Site de référence : hcpn.gouvernement.lu.
ILR - autorité de surveillance et portail unique
L'Institut Luxembourgeois de Régulation est l'autorité de surveillance opérationnelle pour la majorité des secteurs NIS2 (énergie, transport, telecom, services postaux, services numériques, eau, infrastructures critiques). Il opère le portail d'auto-enregistrement unique ouvert depuis avril 2026, reçoit les notifications d'incident, conduit les contrôles à partir de janvier 2027, et prononce les sanctions administratives. L'ILR cumule également un rôle spécifique sur l'AI Act (voir section recoupement). Site : ilr.lu.
CSSF - supervision du secteur financier
La Commission de surveillance du secteur financier supervise l'application combinée de NIS2 et de DORA pour les acteurs financiers : banques, sociétés de gestion d'OPC, AIFM, PSF, institutions de paiement, agents de transfert. Pour cette population, DORA prime sur les dispositions équivalentes de NIS2 mais ne dispense pas de l'enregistrement et de la notification d'incident côté ILR. La CSSF publie des circulaires d'articulation (circulaire 24/847 sur la gestion des risques TIC, lignes directrices ABBL).
Autres autorités sectorielles
Selon le secteur, d'autres autorités interviennent en supervision spécialisée : CAA pour l'assurance (Solvabilité II + DORA + NIS2), Direction de la santé pour les dispositifs médicaux et produits de santé (l'ALMPS est en cours de création via le projet de loi 8491 déposé en janvier 2025), ILNAS pour la métrologie et certaines infrastructures critiques, SIP pour le secteur audiovisuel public. Le périmètre exact de chacune est précisé par les décrets sectoriels qui suivront la promulgation de la loi 8364.
Différence avec le modèle français
La France adopte un modèle centré sur l'ANSSI qui cumule les rôles de stratégie nationale, de surveillance opérationnelle et de point de contact ENISA. Le Luxembourg sépare ces fonctions entre le HCPN (stratégie / régalien) et l'ILR (surveillance / opérationnel). Avantage du modèle luxembourgeois : l'ILR, plus proche des acteurs régulés sectoriellement, offre un dialogue technique direct. Inconvénient potentiel : coordination interne HCPN-ILR-CSSF plus exigeante en cas de crise majeure transversale.
Procédure d'auto-enregistrement sur le portail ILR
Le portail d'auto-enregistrement de l'ILR (accessible via ilr.lu rubrique NIS2) est ouvert depuis avril 2026. Procédure recommandée en trois temps.
Étape 1 - Vérification d'assujettissement
Utiliser le questionnaire d'auto-diagnostic mis à disposition par l'ILR. Vérifier : appartenance sectorielle (annexes I et II de NIS2), seuils de taille (250+ employés ou 50 M€ de CA ou 43 M€ de bilan pour EE ; 50-249 ou 10-50 M€ ou 10-43 M€ pour EI), cas particuliers (DNS, TLD, services de confiance qualifiés, services d'enregistrement = concernés quelle que soit la taille). Identifier également les éventuelles entités liées (filiales, succursales) qui peuvent modifier le périmètre d'assujettissement.
Étape 2 - Création du compte et déclaration
Authentification via LuxTrust (certificat professionnel) ou via un schéma eIDAS reconnu pour les entités non luxembourgeoises ayant des activités au Grand-Duché. Renseigner : forme juridique, secteur principal, taille (effectif et chiffre d'affaires), liens avec d'autres entités, point de contact RSSI ou équivalent, adresse de notification, périmètre d'activités concernées par NIS2. Joindre une déclaration sur l'honneur des dirigeants attestant de l'exactitude des données.
Étape 3 - Catégorisation et accès aux obligations
L'ILR confirme la catégorie d'entité (essentielle ou importante) sur la base des données fournies. Le compte donne ensuite accès aux obligations applicables et au calendrier propre, aux guidelines sectorielles, aux modèles de documents (politique de sécurité, plan de continuité, registre des incidents), et au canal de notification 24h / 72h prévu par l'article 23 de la directive. Pour les entités identifiées par l'ILR comme critiques mais qui ne se seraient pas auto-déclarées, l'autorité peut procéder à une inscription d'office après vérification.
Délais et bonnes pratiques
L'enregistrement prend typiquement 2 à 4 heures pour une PME (vérification d'assujettissement comprise), une à deux journées pour une organisation complexe avec plusieurs entités à déclarer. Recommandation : ne pas attendre la promulgation finale de la loi 8364 et le démarrage des contrôles en janvier 2027 pour se déclarer. L'auto-enregistrement précoce permet à l'ILR de vous classifier correctement et de vous adresser les guidelines sectorielles utiles dès leur publication.
Recoupement avec l'AI Act via l'ILR
Le Luxembourg figure parmi les rares États membres de l'Union européenne à avoir confié à une même autorité (l'ILR) la supervision combinée des opérateurs de services essentiels NIS2 et des déployeurs de systèmes IA haut risque dans ces mêmes secteurs. Cette consolidation est prévue par le projet de loi 8476 du 23 décembre 2024 transposant l'AI Act.
Qui est concerné par le double régime
Concrètement, une entreprise luxembourgeoise est concernée à la fois par NIS2 et par l'AI Act si elle :
- Est entité essentielle ou importante au sens de NIS2 (cf. tableau sectoriel ci-dessus).
- Déploie un ou plusieurs systèmes IA haut risque au sens de l'AI Act (annexe III ou annexe I via produits intégrés).
Cas typiques au Luxembourg
- Opérateur télécom utilisant IA pour la détection de fraude ou le traitement automatisé des incidents.
- Fournisseur d'énergie utilisant IA pour le smart metering, la maintenance prédictive, ou le pilotage de la consommation.
- Hôpital ou réseau de cliniques avec IA diagnostique ou décisionnelle intégrée aux parcours patients.
- Opérateur de service postal avec automatisation IA des opérations critiques (tri, logistique, sécurité).
- Datacenter souverain ou hébergeur cloud avec IA de supervision et de réponse aux incidents.
Recommandation organisationnelle
Pour ces acteurs concernés par le double régime, monter une équipe transverse cyber + IA + DPO + métier dès la phase d'audit. Désigner un référent unique de la conformité multi-régulations (souvent le RSSI ou le DPO) qui coordonne les échanges avec l'ILR. Constituer un dossier de conformité unifié couvrant NIS2 (article 21), AI Act (article 9 gestion des risques, article 14 contrôle humain) et le cas échéant DORA pour les acteurs CSSF. Une seule documentation versionnée plutôt que trois en silos. Détail dans notre guide AI Act au Luxembourg.
Luxembourg vs France, Belgique et Allemagne
Pour une organisation présente dans plusieurs pays, comprendre les différences d'approche entre États membres permet d'anticiper les zones de friction et de coordonner ses chantiers de mise en conformité.
| Pays | Autorité principale | Statut de la transposition | Spécificité |
|---|---|---|---|
| Luxembourg | HCPN (stratégie) + ILR (surveillance) + CSSF (finance) | Loi 8364 examinée en séance publique 28 avril 2026, portail ILR ouvert avril 2026, contrôles janvier 2027. | Architecture tripartite distribuée, recoupement NIS2 / AI Act via l'ILR. |
| France | ANSSI (centralisée) | Projet de Loi Résilience, examen séance publique Assemblée nationale prévu juillet 2026, promulgation attendue courant été 2026. | Modèle très centralisé, portail MonEspaceNIS2, ReCyF (référentiel cyber) en version de travail depuis mars 2026. |
| Belgique | CCB (Centre pour la Cybersécurité Belgique) | Loi NIS2 publiée au Moniteur belge le 17 mai 2024, applicable depuis le 18 octobre 2024. | Pionnier en Europe sur la transposition NIS2, portail Safeonweb@Work, certification CyberFundamentals. |
| Allemagne | BSI (Bundesamt für Sicherheit in der Informationstechnik) | NIS2-Umsetzungsgesetz adopté par le Bundestag le 13 novembre 2025, entré en vigueur le 6 décembre 2025. Enregistrement BSI requis avant avril 2026. | Centralisation forte autour du BSI, articulation avec les Länder sur certains volets. |
Pour les groupes transfrontaliers FR-LU, attention au décalage de calendrier : la Belgique applique NIS2 depuis octobre 2024, le Luxembourg active ses contrôles en janvier 2027, la France attend la promulgation de la Loi Résilience courant été 2026. Une filiale belge peut donc déjà être contrôlée pendant qu'une maison mère luxembourgeoise est encore en phase d'auto-enregistrement.
Pour aller plus loin
NIS2 : guide général France et Luxembourg 2026
Calendrier, seuils PME / ETI, obligations techniques article 21, méthodologie 4 phases, sanctions. Référence générale, complémentaire à ce guide LU.
AI Act au Luxembourg : autorités, finance, NIS2
Architecture des 9 autorités IA luxembourgeoises, secteur finance (CSSF), recoupement NIS2 / AI Act via l'ILR. Indispensable si vous êtes concerné par les deux régimes.
AdevWeb au Luxembourg
Notre activité au Grand-Duché : Drupal, WordPress, Symfony, RAWeb, multilingue FR/DE/EN/LU. Références Mondorf, Global Health de Foyer Group, Amnesty International Luxembourg.
Notre expertise Drupal au Luxembourg
Sites Drupal multilingues, RAWeb, conformité réglementaire LU. Pour les acteurs régulés qui modernisent leur plateforme digitale.
Un projet de conformité NIS2 au Luxembourg ?
Parlons-en directement.
