Une loi déjà en vigueur
Contrairement à ce que beaucoup d’entreprises croient encore, NIS2 n’est plus un projet : c’est le droit applicable. Le 6 mai 2026, le Luxembourg a publié au Journal officiel la loi transposant la directive européenne NIS2 (projet de loi 8364), entrée en application le 10 mai 2026. Cette loi du 5 mai 2026 a notamment abrogé l’ancienne loi NIS1. PwC LuxembourgILR
Le texte instaure une approche structurée de la cybersécurité à l’échelle de l’économie, en réponse à des menaces de plus en plus sophistiquées.
Votre entreprise est-elle concernée ?
C’est la question clé — et la réponse surprend beaucoup de dirigeants. NIS2 s’applique automatiquement aux organisations comptant 50 employés ou plus, ou réalisant un chiffre d’affaires annuel supérieur à 10 millions d’euros, qui opèrent dans l’un des 18 secteurs critiques. Ces secteurs couvrent un champ très large : énergie, transports, banque, santé, eau, infrastructures numériques, services postaux, fabrication, alimentation, et bien d’autres. PwC Luxembourg
La loi distingue deux catégories. Les entités essentielles sont les plus grandes structures : organisations des secteurs de l’Annexe I dépassant 250 employés et soit 50 millions d’euros de chiffre d’affaires, soit 43 millions d’euros de bilan annuel ; elles sont soumises à une supervision proactive et à des sanctions pouvant atteindre 10 millions d’euros ou 2 % du chiffre d’affaires mondial. Les entités importantes (les PME dépassant les seuils de 50 salariés / 10 M€) sont, elles, soumises à un contrôle a posteriori. PwC Luxembourg
L’ampleur est considérable : selon les estimations, la loi 8364 fera entrer entre 6 000 et 8 000 organisations dans le champ d’application. Copla
L’échéance à retenir : le 10 juillet 2026
C’est l’obligation la plus immédiate et la plus souvent ignorée. Les entités ont jusqu’au 10 juillet 2026 pour s’enregistrer auprès de leur autorité compétente. Cet enregistrement est une obligation légale au titre de l’article 11, et le défaut d’enregistrement constitue en soi une infraction sanctionnable. Le portail de l’ILR est accessible sur ilr.lu. PwC Luxembourg
Au Luxembourg, la supervision est répartie : l’ILR pour la plupart des secteurs, la CSSF pour les services financiers, avec une coordination stratégique assurée par le Haut-Commissariat à la Protection nationale (HCPN). L’enregistrement lui-même est rapide : il prend typiquement 2 à 4 heures pour une PME, vérification d’assujettissement comprise. CoplaAdevWeb
Les contrôles complets en janvier 2027
Si l’enregistrement est l’urgence du moment, la mise en conformité technique suit un calendrier légèrement plus long. L’auto-enregistrement ILR a ouvert en avril 2026, et les contrôles complets démarrent en janvier 2027. Cela laisse une fenêtre — courte — pour se mettre en ordre de marche. AdevWeb
Concrètement, les obligations couvrent la gestion des risques, la sécurité de la chaîne d’approvisionnement, la formation du personnel, et surtout une capacité de réponse aux incidents : un protocole d’alerte dans les 24 heures et une mise à jour dans les 72 heures. Point essentiel pour la gouvernance : les organes de direction doivent formellement approuver les mesures de sécurité — il faut traiter le sujet comme un risque de gouvernance et juridique, pas seulement comme une affaire informatique. CoplaPwC Luxembourg
L’effet domino sur les sous-traitants
Même si votre entreprise n’est pas directement assujettie, elle peut être concernée indirectement. Un prestataire IT, une infogérance ou un éditeur SaaS critique d’une entité essentielle ou importante luxembourgeoise est exposé via les clauses de sécurité contractuelle exigées par NIS2 sur la chaîne d’approvisionnement : il n’est pas formellement enregistré à l’ILR, mais doit s’aligner sur les exigences de ses clients régulés. AdevWeb
Que faire maintenant ?
La recommandation des spécialistes est claire : ne pas attendre. L’auto-enregistrement précoce permet à l’ILR de vous classifier correctement et de vous adresser les guidelines sectorielles dès leur publication. Les premières étapes pratiques : vérifier votre assujettissement (l’ILR met à disposition un vérificateur de statut), réunir vos données d’enregistrement (numéro RCS, codes NACE, contact cybersécurité désigné), réaliser une analyse d’écart sur vos mesures de sécurité, et impliquer votre direction en amont. AdevWeb
En conclusion
NIS2 transforme la cybersécurité d’une bonne pratique en une obligation légale assortie de sanctions lourdes. L’échéance du 10 juillet 2026 pour l’enregistrement est imminente, et le défaut d’enregistrement est lui-même sanctionnable. Pour de nombreuses PME luxembourgeoises, c’est le moment d’agir.
Chez GRIFILT, nous accompagnons les entreprises dans l’évaluation de leur assujettissement à NIS2 et la structuration de leur démarche de conformité. Contactez-nous pour faire le point sur votre situation.
Cet article a une vocation informative générale et ne constitue pas un conseil juridique individualisé.
