La directive européenne NIS2 est désormais une réalité légale au Luxembourg. Si votre entreprise opère dans un secteur critique, vous avez probablement une obligation d’enregistrement à respecter avant le 10 juillet 2026. Voici l’essentiel, sans jargon.

NIS2, c’est quoi en deux phrases ?

NIS2 (Network and Information Security 2) est la directive européenne qui rehausse le niveau d’exigence en cybersécurité pour les entreprises de secteurs jugés essentiels ou importants. Au Luxembourg, elle a été transposée par la loi du 5 mai 2026, qui impose des mesures de sécurité, une gouvernance du risque cyber et la notification des incidents majeurs.

Votre PME est-elle concernée ?

La loi distingue deux catégories :

• Entités essentielles : secteurs hautement critiques, au moins 250 salariés et plus de 50 M€ de chiffre d’affaires (ou plus de 43 M€ de bilan).
• Entités importantes : entreprises de taille moyenne (à partir de 50 salariés) dans les secteurs couverts.

Les secteurs visés incluent notamment l’énergie, les transports, la santé, l’eau, l’infrastructure numérique, les services TIC, l’administration publique et la fabrication de produits critiques. Même sous ces seuils, une PME peut être concernée si elle fournit un service critique ou travaille comme sous-traitant d’une entité régulée.

À retenir : beaucoup de dirigeants pensent « ça ne me concerne pas ». Dans les faits, la chaîne de sous-traitance élargit fortement le périmètre. En cas de doute, une vérification de quelques minutes vaut mieux qu’une sanction.

L’échéance à ne pas manquer : 10 juillet 2026

Les entités essentielles et importantes doivent s’auto-enregistrer auprès de l’Institut Luxembourgeois de Régulation (ILR) — ou de la CSSF pour le secteur financier — avant le 10 juillet 2026. Cet enregistrement n’est plus automatique : c’est à l’entreprise de faire la démarche, via le portail de l’autorité compétente.

Quelles obligations concrètes ?

Au-delà de l’enregistrement, les entités concernées doivent mettre en place des mesures proportionnées :

• analyse et gestion des risques de sécurité ;
• mesures techniques : sauvegardes, chiffrement, contrôle d’accès, détection (EDR/SOC) ;
• gestion et notification des incidents importants dans les délais prévus ;
• sécurité de la chaîne d’approvisionnement (fournisseurs et sous-traitants) ;
• responsabilisation de la direction, qui peut être tenue responsable en cas de manquement.

Combien coûte l’inaction ?

• jusqu’à 10 M€ ou 2 % du chiffre d’affaires annuel pour les entités essentielles ;
• jusqu’à 7 M€ ou 1,4 % du chiffre d’affaires annuel pour les entités importantes.

S’ajoutent le risque réputationnel et, en cas d’incident non maîtrisé, l’interruption d’activité.

Par où commencer ? Le plan en 4 étapes

1. Déterminer si vous êtes concerné : secteur, taille, rôle dans une chaîne critique.
2. Vous enregistrer auprès de l’ILR ou de la CSSF avant le 10 juillet 2026.
3. Réaliser un audit d’écart entre vos pratiques actuelles et les exigences NIS2.
4. Mettre en œuvre les mesures manquantes : gouvernance, protection, détection (SOC managé) et procédure de notification.

Comment Empirys vous accompagne

Empirys, société informatique au Luxembourg, accompagne les PME et ETI sur tout le parcours NIS2 : audit de conformité, mise en place des mesures techniques et supervision continue via CyberOne, notre SOC managé. Objectif : une mise en conformité pragmatique, adaptée à votre taille et à votre budget, avec un référent local.

Bonne nouvelle : une partie de ces mesures peut être financée par l’État. Découvrez comment obtenir jusqu’à 70 % d’aide grâce aux SME Packages au Luxembourg.

Vous voulez savoir si NIS2 s’applique à vous ? Demandez un diagnostic gratuit.

FAQ

NIS2 est-elle obligatoire au Luxembourg ?
Oui. Elle a été transposée par la loi du 5 mai 2026. Les entités essentielles et importantes ont des obligations légales, dont l’enregistrement auprès de l’ILR (ou la CSSF pour la finance) avant le 10 juillet 2026.

Ma PME de moins de 50 salariés est-elle concernée ?
Le seuil d’entité importante démarre en principe à 50 salariés, mais une structure plus petite peut être concernée si elle fournit un service critique ou est sous-traitante d’une entité régulée.

Quelle est la sanction en cas de non-conformité ?
Jusqu’à 10 M€ ou 2 % du chiffre d’affaires pour une entité essentielle, et jusqu’à 7 M€ ou 1,4 % pour une entité importante.

Qui est l’autorité compétente au Luxembourg ?
L’ILR (Institut Luxembourgeois de Régulation) pour la plupart des secteurs, et la CSSF pour le secteur financier.