Cybersécurité : l’ILR présente la nouvelle loi NIS 2
Informations
Date de publication
06/07/2026
Secteur(s) concerné(s) :
Cybersécurité – NISS
Type :
Communiqués
Liens :
La publication en bref
Le 6 juillet, l’Institut Luxembourgeois de Régulation (ILR) a organisé une conférence de presse pour présenter la loi du 5 mai 2026 concernant des mesures destinées à assurer un niveau élevé de cybersécurité, la « loi NIS 2 ». Cette nouvelle législation, qui transpose la directive européenne NIS 2, vise à renforcer les exigences en matière de cybersécurité et élargit les obligations des entreprises. L’occasion donc de faire le point sur les principaux changements, comme l’auto-enregistrement des entités concernées auprès de l’ILR pour au plus tard le 10 juillet.
L’objectif de la loi NIS 2 est d’intensifier le niveau de cybersécurité des entreprises et de protéger de ce fait les citoyens. À noter que la directive européenne NIS 2 succède à la première directive NIS de 2016 avec l’objectif d’harmoniser et d’élever les exigences en matière de sécurité des réseaux et des systèmes d’information à l’échelle européenne.
Parmi les évolutions majeures, citons l’élargissement du champ d’application de la loi qui concerne désormais un nombre plus important d’entités. Hormis certains types d’entités tombant dans le champ d’application de la loi NIS 2 indépendamment de leur taille, cette loi s’applique notamment à des entreprises de taille « moyenne », c’est-à-dire des entités employant au moins 50 personnes ou ayant un chiffre d’affaires ou un bilan annuel excédant 10 millions d’euros.
Deux catégories d’entités sont introduites :
- Les entités essentielles, entre autres les entreprises actives dans un des secteurs hautement critiques (Annexe I de la Loi NIS 2), constituant des entreprises de grande taille, c’est-à-dire employant au moins 250 personnes, ou dont le chiffre d’affaires annuel dépasse les 50 millions d’euros ou dont le bilan annuel excède les 43 millions d’euros ;
- Les entités importantes, sauf exceptions, les entreprises de taille « moyenne », actives dans un des secteurs relevant de l’annexe I de la Loi NIS 2, ou des entreprises de grande ou de moyenne taille actives dans un des autres secteurs critiques (Annexe II de la Loi NIS 2).
Élargissement du périmètre et des secteurs visés
Parallèlement, la liste des secteurs visés s’étend considérablement. En pratique, de nombreuses entités pourraient être concernées sans encore en avoir pleinement conscience. Parmi elles, l’industrie manufacturière, les plateformes en ligne, le secteur spatial ou encore la production de denrées alimentaires, et bien d’autres. L’ILR a, dans ce contexte, mis en place un simulateur d’applicabilité NIS 2 permettant aux entités de savoir si elles sont concernées ou pas par la nouvelle loi NIS 2.
Notifier tout incident important dans les 24 heures
Par ailleurs, l’ILR accompagne les entités dans leurs démarches et assure leur supervision. Les entités concernées doivent ainsi s’enregistrer auprès de l’Institut pour le 10 juillet au plus tard en utilisant le formulaire d’auto-enregistrement. Elles sont, depuis l’entrée en vigueur de la Loi NIS 2, tenues de notifier tout incident ayant un impact important dans un délai de 24 heures (notification préliminaire). La notion d’incident est volontairement large : elle englobe aussi bien les cyberattaques que les erreurs humaines, les défaillances techniques ou encore les évènements physiques susceptibles d’affecter les systèmes et les données.
Organes de direction responsabilisés
Au-delà de ces obligations opérationnelles, la NIS 2 introduit un changement majeur en matière de responsabilité. Les organes de direction se voient attribuer des obligations et responsabilités directes par la loi NIS 2. Ce qui implique de s’informer, de se former, de former leurs équipes, d’approuver et de superviser la mise en place des mesures de gestion des risques en matière de cybersécurité de leurs entités. La cybersécurité devient ainsi un véritable enjeu de gouvernance et un sujet stratégique au plus haut niveau de l’entité.
Finalement, le dispositif est assorti de sanctions dissuasives en cas de non-respect, allant de l’avertissement à des amendes pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Plus qu’une contrainte règlementaire, la NIS 2 est davantage à voir comme une opportunité pour les entités de renforcer leur résilience et leur organisation.
POUR EN SAVOIR PLUS :
- Formulaire d’auto-enregistrement : https://ilr.lu/secteurs-activites/niss/auto-enregistrement/
- Simulateur d’applicabilité NIS 2 : http://nis2.ilr.lu/
- 6 mesures de sécurité fondamentales : https://www.ilr.lu/publications/6-mesures-de-securite-fondamentales/
-
- Une question ?
Si vous avez besoin d'informations sur nos services, consultez nos FAQ.
En savoir plus - Calculix
Calculix est un outil de comparaison pour les prix de l'électricité et du gaz naturel.
En savoir plus