Qui pilote NIS2 au Luxembourg ?

Le Grand-Duché n'a pas opté pour un interlocuteur unique : il a distribué les missions entre trois entités. Le HCPN (Haut-Commissariat à la Protection nationale) fixe le cap stratégique du pays et le porte auprès des instances européennes ; sa fonction régalienne fait écho à celle de l'ANSSI en France. L'ILR (Institut Luxembourgeois de Régulation) tient le manche au quotidien sur l'essentiel des filières exposées et exploite le portail où les organisations viennent s'enregistrer. La CSSF (Commission de surveillance du secteur financier), de son côté, conserve la tutelle des banques, gestionnaires d'OPC, AIFM et PSF, pour qui NIS2 s'ajoute à DORA, applicable depuis le 17 janvier 2025. C'est la loi 8364, qui inscrit NIS2 dans le droit luxembourgeois, qui trace ce découpage des compétences.

Quel est l'état d'avancement de la loi 8364 ?

Inscrit au rôle de la Chambre des députés le 13 mars 2024, le projet n° 8364 est passé entre les mains de la Commission des Institutions et de la Révision constitutionnelle au fil de plusieurs séances (décembre 2024, puis février, mars et avril 2026) jusqu'à son examen en séance publique le 28 avril 2026. La signature et la publication au Mémorial A suivront vraisemblablement de peu le vote. Sans patienter jusqu'à cette étape formelle, l'ILR a ouvert son portail d'enregistrement dès avril 2026 pour que les organisations visées s'y prennent à l'avance. Le calendrier que l'ILR communique repousse les inspections de fond à janvier 2027. Sources à recouper : la Chambre des députés (chd.lu/dossier/8364) et Légilux.

Comment se déclarer sur le portail ILR, étape par étape ?

Le portail de l'ILR (rubrique NIS2 sur ilr.lu) est ouvert depuis avril 2026 à toute structure qui pense relever du périmètre. Trois temps suffisent à le décrire. On commence par mesurer son assujettissement avec le questionnaire d'auto-évaluation mis à disposition : rattachement aux annexes I ou II, dépassement des seuils d'effectif, de chiffre d'affaires ou de bilan, et situations particulières des DNS et des registres TLD. On crée ensuite un compte (authentification LuxTrust ou eIDAS) avant de compléter sa carte d'identité administrative : forme juridique, activité principale, dimension, rattachements aux autres sociétés du groupe. L'ILR conclut en arbitrant le classement en entité essentielle (EE) ou importante (EI) à partir du dossier remis, puis ouvre l'accès aux obligations et à l'échéancier correspondants. Une organisation que l'ILR juge critique mais qui n'a rien déclaré peut, après examen, se voir inscrite d'office.

Quel volume d'entreprises luxembourgeoises tombe sous NIS2 ?

Les projections évaluent à un volume de 6 000 à 8 000 le nombre d'organisations luxembourgeoises dorénavant dans le champ, alors que NIS1 n'en visait qu'une poignée de centaines, pour l'essentiel des opérateurs de services essentiels désignés un à un. Cette envolée touche en premier lieu des PME et des ETI qui ne se savaient pas assujetties, en particulier dans la finance, l'industrie manufacturière, le numérique (centres de données, hébergeurs cloud, éditeurs SaaS exposés, gestionnaires de noms de domaine), l'agroalimentaire, la recherche, la poste et le traitement des déchets. En incitant chacun à se déclarer, l'ILR reconstitue une cartographie complète du terrain avant d'ouvrir ses contrôles en 2027.

Quelles filières luxembourgeoises sont les plus exposées ?

Les secteurs qui font tourner l'économie du Grand-Duché ouvrent la marche. La finance (banques, gestionnaires d'OPC, AIFM, PSF) supporte une double tutelle CSSF et ILR, recoupée par DORA. Côté énergie, gestionnaires de réseaux et fournisseurs passent en entités essentielles. Les télécoms, rattachés à l'annexe I, héritent presque systématiquement de l'étiquette essentielle. Le transport (rail, fret aérien, plateforme aéroportuaire, mobilité publique) entre dans les services essentiels au regard de NIS2. La santé (hôpitaux, laboratoires, fabricants relevant du MDR) se trouve à l'annexe I, en chevauchement avec l'EHDS européen. On y ajoute la poste, les centres de données et le cloud souverain, l'administration centrale comme communale (annexe I), ainsi que les organismes de recherche pour leurs travaux les plus sensibles.

Comment NIS2 et DORA s'emboîtent-ils pour la finance luxembourgeoise ?

Du côté de la place financière, DORA (Digital Operational Resilience Act, applicable depuis le 17 janvier 2025) tient le rôle de loi spéciale. En pratique, pour les entités sous le regard de la CSSF, DORA prévaut sur les exigences NIS2 qui se chevauchent, sans pour autant gommer le tronc commun NIS2 : il faut toujours s'inscrire auprès de l'ILR via le canal CSSF, notifier les incidents, organiser sa gouvernance et tenir sous contrôle sa chaîne de sous-traitance (les prestataires tiers critiques au sens de DORA). La CSSF a éclairci cette imbrication par plusieurs circulaires adressées aux PSF, banques et AIFM (en particulier la 24/847 portant sur la notification et la qualification des incidents TIC, alignée sur les orientations de l'EBA et de l'EIOPA). Ce que je recommande sur le terrain : monter une documentation TIC mutualisée entre DORA, NIS2 et l'AI Act (que l'ILR fait dialoguer), réexaminée chaque année, plutôt que de cloisonner chaque texte dans son propre silo.

Que risque-t-on au Luxembourg en cas de manquement à NIS2 ?

L'échelle des sanctions, arrêtée à l'échelon européen, est transposée telle quelle par la loi 8364. Une entité essentielle risque jusqu'à 10 millions d'euros, ou 2 % de son chiffre d'affaires mondial annuel si ce chiffre est supérieur ; pour une entité importante, le plafond tombe à 7 millions d'euros ou 1,4 % du CA mondial. La facture pécuniaire ne résume pas le risque : en cas de négligence avérée, la responsabilité personnelle des dirigeants peut être engagée, jusqu'à les écarter temporairement de leurs fonctions. L'ILR garde par ailleurs une panoplie progressive : injonctions de mise en conformité, suspension de certaines activités face à un manquement grave, voire retrait de certifications propres au secteur. Sur le terrain financier, les amendes infligées par la CSSF (au titre de DORA et du cadre sectoriel) s'ajoutent à celles de NIS2 selon la nature des défauts constatés.

Pourquoi l'ILR chapeaute-t-il à la fois NIS2 et l'AI Act ?

Le projet de loi 8476 qui transpose l'AI Act (déposé le 23 décembre 2024) confie à l'ILR le suivi des utilisateurs de systèmes d'IA à haut risque qui sont par ailleurs opérateurs de services essentiels au titre de NIS2. Conséquence : un gestionnaire de réseau, un fournisseur d'énergie, un hôpital public ou un acteur postal du Grand-Duché n'a qu'un seul interlocuteur, l'ILR, autant pour ses obligations cyber (NIS2) que pour celles liées à l'intelligence artificielle (AI Act). Ce rapprochement, rare en Europe où la plupart des pays dissocient l'autorité cyber de l'autorité IA, simplifie la conformité dès lors que plusieurs textes se cumulent. Si votre structure relève des deux régimes, constituer une cellule réunissant cyber, IA et DPO autour d'une documentation unique vous évite de tenir deux dossiers parallèles. J'approfondis tout cela dans mon guide AI Act au Luxembourg.

NIS2 Luxembourg : loi 8364 et portail ILR 2026

Rédigé par Driss Redouane · Mis en ligne le 12 mai 2026 · Lecture : 10 min

Au Luxembourg, la transposition de la directive NIS2 (UE 2022/2555) en droit interne repose sur la loi 8364 ; elle a été examinée en séance publique à la Chambre des députés le 28 avril 2026, la signature et la publication au Mémorial A devant intervenir dans les semaines qui suivent. Depuis avril 2026, le portail d'enregistrement de l'ILR reçoit les organisations, alors que les inspections de fond ne démarreront pas avant janvier 2027.

Voyez cette page comme la suite logique de mon guide NIS2 général (France et Luxembourg). Je me concentre ici sur les spécificités du Grand-Duché : la répartition à trois voix entre HCPN, ILR et CSSF, le déroulé concret de l'enregistrement, l'inventaire des filières luxembourgeoises illustré par des cas concrets, l'enchevêtrement avec DORA pour la finance, la mission singulière de l'ILR sur l'AI Act, et une mise en perspective avec la France, la Belgique et l'Allemagne.

Je m'appuie exclusivement sur des sources officielles : la Chambre des députés du Luxembourg (chd.lu, dossier 8364), le HCPN, l'ILR (ilr.lu/NIS2), la CSSF (cssf.lu), Légilux, le Service des médias et de la communication, ainsi que l'ANSSI pour la comparaison avec la France.

Relevez-vous de NIS2 ? Tour d'horizon des filières luxembourgeoises

Voici un repère de lecture taillé pour les filières du Grand-Duché. La directive impose deux critères à réunir simultanément : appartenir à un secteur listé à l'annexe I ou II et dépasser les seuils de taille. Exception notable : les DNS, les registres TLD, les services de confiance qualifiés et les services d'enregistrement entrent dans le champ quelle que soit leur taille.

Secteur luxembourgeois	Catégorie usuelle	Autorité de tutelle	Réglementations connexes
Banques, gestionnaires d'OPC, AIFM et PSF (annexe I).	Entité essentielle	CSSF + ILR	DORA (loi spéciale depuis le 17 janvier 2025), AI Act dès qu'une IA à haut risque intervient.
Assureurs et réassureurs.	Entité essentielle	CAA + ILR	Solvabilité II, DORA et IDD.
Énergie : gestionnaires de réseaux et fournisseurs d'électricité et de gaz.	Entité essentielle	ILR	CER (résilience des entités critiques), AI Act lorsqu'une IA à haut risque commande le réseau intelligent.
Télécoms : opérateurs fixes et mobiles, fournisseurs d'accès établis au Grand-Duché.	Entité essentielle	ILR	Code des communications électroniques, eIDAS 2 (services de confiance).
Transport : rail, fret et passagers aériens, plateforme aéroportuaire, mobilité publique.	Entité essentielle	ILR + ministères de tutelle	Cadres sectoriels de l'aérien, du ferroviaire et du routier.
Santé : centres hospitaliers, laboratoires d'analyses, fournisseurs relevant du MDR.	Entité essentielle	ILR + Direction de la santé (ALMPS en cours de création, PL 8491)	MDR, IVDR, EHDS, AI Act en présence d'une IA diagnostique.
Numérique : centres de données, hébergeurs cloud, registres de noms de domaine, éditeurs SaaS critiques.	Entité essentielle ou importante selon la taille	ILR	DSA, DMA, eIDAS 2.
Services postaux (acheminement du courrier et logistique critique).	Entité essentielle	ILR	Cadre de régulation postale.
Production industrielle (annexe II) : agroalimentaire, chimie, dispositifs médicaux, machines.	Entité importante	ILR	MDR (santé), AI Act dès qu'une IA est embarquée dans les produits.
Administration luxembourgeoise, à l'échelon central comme communal.	Entité essentielle	HCPN + ILR	RGAA / RAWeb (accessibilité), volet administratif de l'AI Act.
DNS, TLD, services de confiance qualifiés et services d'enregistrement.	Dans le champ sans condition de taille	ILR	eIDAS 2.
PME du Grand-Duché < 50 salariés et < 10 M€ de CA, hors secteurs critiques particuliers.	Hors champ direct	-	Demeure exposée par ricochet (sous-traitance d'une EE ou EI).

Effet ricochet sur les sous-traitants : un prestataire informatique, une infogérance ou un éditeur SaaS critique qui travaille pour une entité essentielle ou importante luxembourgeoise se retrouve concerné via les clauses de sécurité contractuelles que NIS2 impose tout au long de la chaîne d'approvisionnement. Sans être inscrit en propre auprès de l'ILR, il doit se hisser au niveau d'exigence de ses clients régulés.

Un trio d'autorités : HCPN, ILR et CSSF

Pour transposer NIS2, le Luxembourg a retenu une organisation répartie, gravée dans la loi 8364. Trois acteurs majeurs agissent à des étages qui se complètent.

HCPN - pilotage stratégique et voix du pays en Europe

Rattaché directement au Premier ministre, le Haut-Commissariat à la Protection nationale conduit la coordination stratégique du pays en cybersécurité, porte la position du Grand-Duché devant la Commission européenne et l'ENISA, et fait le lien avec les services de renseignement et la justice quand une crise cyber survient. Pour ce qui touche à NIS2, le HCPN arrête la stratégie nationale de cybersécurité, la doctrine de réponse aux incidents majeurs et la coordination civilo-militaire en cas de crise. Référence en ligne : hcpn.gouvernement.lu.

ILR - autorité de contrôle et portail centralisé

L'Institut Luxembourgeois de Régulation assure le contrôle opérationnel sur la plupart des secteurs NIS2 (énergie, transport, télécoms, services postaux, services numériques, eau, infrastructures critiques). C'est lui qui fait tourner le portail d'auto-enregistrement centralisé ouvert depuis avril 2026, recueille les notifications d'incident, mène les inspections dès janvier 2027 et prononce les sanctions administratives. L'ILR endosse en plus une mission propre à l'AI Act (voir la section consacrée au recoupement). Site : ilr.lu.

CSSF - tutelle de la place financière

La Commission de surveillance du secteur financier veille à l'application conjuguée de NIS2 et de DORA chez les acteurs financiers : banques, sociétés de gestion d'OPC, AIFM, PSF, établissements de paiement, agents de transfert. Pour ce public, DORA l'emporte sur les clauses équivalentes de NIS2, sans pour autant exonérer de l'enregistrement et de la notification d'incident auprès de l'ILR. La CSSF diffuse des circulaires d'articulation (la circulaire 24/847 sur la maîtrise des risques TIC, les lignes directrices de l'ABBL).

Les autres régulateurs sectoriels

En fonction du domaine, d'autres autorités assurent un contrôle spécialisé : la CAA pour l'assurance (Solvabilité II + DORA + NIS2), la Direction de la santé pour les dispositifs médicaux et produits de santé (l'ALMPS est encore en gestation, via le projet de loi 8491 déposé en janvier 2025), l'ILNAS pour la métrologie et certaines infrastructures critiques, et le SIP pour l'audiovisuel public. Le contour précis de chacune sera fixé par les décrets sectoriels qui paraîtront après la promulgation de la loi 8364.

Ce qui change par rapport à la France

La France a misé sur un dispositif concentré autour de l'ANSSI, qui réunit à elle seule la stratégie nationale, le contrôle opérationnel et le point de contact ENISA. Le Luxembourg, lui, scinde ces attributions entre le HCPN (stratégie et régalien) et l'ILR (contrôle et opérationnel). Le bénéfice du schéma luxembourgeois : un ILR plus proche des acteurs régulés par secteur, donc un échange technique de première main. Le revers possible : une coordination interne HCPN-ILR-CSSF plus délicate à orchestrer lors d'une crise majeure qui traverse les frontières sectorielles.

S'enregistrer sur le portail ILR, mode d'emploi

Le portail d'auto-enregistrement de l'ILR (à retrouver sur ilr.lu, rubrique NIS2) est en service depuis avril 2026. Voici le cheminement que je recommande, en trois temps.

Étape 1 - Mesurer son assujettissement

S'appuyer sur le questionnaire d'auto-diagnostic proposé par l'ILR. Passer en revue : le rattachement sectoriel (annexes I et II de NIS2), les seuils de taille (à partir de 250 salariés ou 50 M€ de CA ou 43 M€ de bilan pour une EE ; de 50 à 249, 10 à 50 M€ ou 10 à 43 M€ pour une EI), et les cas dérogatoires (DNS, TLD, services de confiance qualifiés, services d'enregistrement, concernés sans condition de taille). Repérer aussi les entités rattachées (filiales, succursales) susceptibles de faire bouger le périmètre.

Étape 2 - Ouvrir le compte et déclarer

S'authentifier via LuxTrust (certificat professionnel) ou via un schéma eIDAS reconnu pour les structures étrangères opérant au Grand-Duché. Saisir : forme juridique, activité dominante, taille (effectif et chiffre d'affaires), rattachements à d'autres entités, point de contact RSSI ou équivalent, adresse de notification, périmètre des activités touchées par NIS2. Y joindre une attestation sur l'honneur des dirigeants garantissant l'exactitude des informations.

Étape 3 - Être classé et accéder aux obligations

L'ILR valide la catégorie (essentielle ou importante) au vu du dossier transmis. Le compte ouvre alors l'accès aux obligations applicables et à l'échéancier dédié, aux guidelines sectorielles, aux modèles de documents (politique de sécurité, plan de continuité, registre des incidents) et au canal de notification 24 h / 72 h prévu par l'article 23 de la directive. Pour les structures que l'ILR juge critiques mais qui n'ont pas pris l'initiative de se déclarer, l'autorité peut prononcer une inscription d'office après vérification.

Durée et conseils pratiques

Compter en général 2 à 4 heures pour une PME (vérification d'assujettissement incluse), et une à deux journées pour une organisation complexe comptant plusieurs entités à déclarer. Mon conseil : ne pas patienter jusqu'à la promulgation définitive de la loi 8364 ni jusqu'au lancement des contrôles en janvier 2027 pour s'enregistrer. Se déclarer tôt aide l'ILR à vous classer correctement et à vous transmettre les guidelines sectorielles pertinentes dès leur parution.

Quand NIS2 croise l'AI Act sous l'égide de l'ILR

Le Luxembourg fait partie du petit nombre d'États membres de l'Union à avoir réuni sous une seule autorité (l'ILR) le suivi des opérateurs de services essentiels NIS2 et celui des déployeurs de systèmes d'IA à haut risque opérant dans ces mêmes secteurs. Ce regroupement est porté par le projet de loi 8476 du 23 décembre 2024, qui transpose l'AI Act.

Qui tombe sous le double régime

Dans les faits, une entreprise luxembourgeoise relève à la fois de NIS2 et de l'AI Act dès lors qu'elle :

Est classée entité essentielle ou importante au regard de NIS2 (voir le tableau sectoriel plus haut).
Met en œuvre un ou plusieurs systèmes d'IA à haut risque au sens de l'AI Act (annexe III, ou annexe I via des produits intégrés).

Exemples fréquents au Grand-Duché

Opérateur télécom mobilisant l'IA pour repérer la fraude ou traiter automatiquement les incidents.
Fournisseur d'énergie recourant à l'IA pour le smart metering, la maintenance prédictive ou le pilotage de la consommation.
Établissement hospitalier ou réseau de cliniques embarquant une IA de diagnostic ou d'aide à la décision dans les parcours de soin.
Acteur postal automatisant par l'IA ses opérations critiques (tri, logistique, sûreté).
Centre de données souverain ou hébergeur cloud s'appuyant sur l'IA pour la supervision et la réponse aux incidents.

Mon conseil d'organisation

Pour ces acteurs soumis au double régime, je préconise de réunir dès la phase d'audit une cellule transverse cyber + IA + DPO + métier. Nommez un référent unique de la conformité multi-textes (le plus souvent le RSSI ou le DPO) chargé d'orchestrer les échanges avec l'ILR. Bâtissez un dossier de conformité consolidé embrassant NIS2 (article 21), l'AI Act (article 9 sur la gestion des risques, article 14 sur le contrôle humain) et, le cas échéant, DORA pour les entités CSSF. Une documentation unique et versionnée vaut mieux que trois jeux de documents cloisonnés. Je détaille ce volet dans mon guide AI Act au Luxembourg.

Le Luxembourg face à la France, à la Belgique et à l'Allemagne

Quand une organisation est implantée dans plusieurs pays, saisir les écarts d'approche d'un État membre à l'autre aide à anticiper les points de friction et à synchroniser ses chantiers de conformité.

État membre	Autorité de référence	Avancement de la transposition	Particularité
Luxembourg	HCPN (stratégie) + ILR (contrôle) + CSSF (finance)	Loi 8364 en séance publique le 28 avril 2026, portail ILR ouvert dès avril 2026, contrôles à partir de janvier 2027.	Organisation à trois autorités réparties, jonction NIS2 / AI Act assurée par l'ILR.
France	ANSSI (modèle centralisé)	Projet de Loi Résilience, examen en séance publique à l'Assemblée nationale visé pour juillet 2026, promulgation espérée à l'été 2026.	Forte centralisation, portail MonEspaceNIS2, référentiel cyber ReCyF en version de travail depuis mars 2026.
Belgique	CCB (Centre pour la Cybersécurité Belgique)	Loi NIS2 parue au Moniteur belge le 17 mai 2024, en application depuis le 18 octobre 2024.	Premier de la classe en Europe pour la transposition, portail Safeonweb@Work, label CyberFundamentals.
Allemagne	BSI (Bundesamt für Sicherheit in der Informationstechnik)	NIS2-Umsetzungsgesetz voté par le Bundestag le 13 novembre 2025, en vigueur depuis le 6 décembre 2025. Inscription auprès du BSI exigée avant avril 2026.	Pilotage très centralisé sur le BSI, avec une articulation avec les Länder sur certains aspects.

Pour les groupes à cheval entre la France et le Luxembourg, méfiez-vous du décalage de calendriers : la Belgique applique NIS2 depuis octobre 2024, le Luxembourg n'enclenche ses contrôles qu'en janvier 2027, et la France table sur une promulgation de la Loi Résilience à l'été 2026. Résultat, une filiale belge peut déjà faire l'objet d'un contrôle pendant que la maison mère luxembourgeoise en est encore à s'auto-enregistrer.

Ressources liées

Une mise en conformité NIS2 à mener au Luxembourg ?
Discutons-en de vive voix.

Parler de votre projet NIS2

Échanger sur votre mise en conformité NIS2 au Grand-Duché de Luxembourg

Nous contacter

Nous suivre

Nous contacter

Nous suivre

NIS2 au Luxembourg en 2026 : qui régule, portail ILR et filières concernées

Relevez-vous de NIS2 ? Tour d'horizon des filières luxembourgeoises

Un trio d'autorités : HCPN, ILR et CSSF

HCPN - pilotage stratégique et voix du pays en Europe

ILR - autorité de contrôle et portail centralisé

CSSF - tutelle de la place financière

Les autres régulateurs sectoriels

Ce qui change par rapport à la France

S'enregistrer sur le portail ILR, mode d'emploi

Étape 1 - Mesurer son assujettissement

Étape 2 - Ouvrir le compte et déclarer

Étape 3 - Être classé et accéder aux obligations

Durée et conseils pratiques

Quand NIS2 croise l'AI Act sous l'égide de l'ILR

Qui tombe sous le double régime

Exemples fréquents au Grand-Duché

Mon conseil d'organisation

Le Luxembourg face à la France, à la Belgique et à l'Allemagne

Approfondir le sujet

NIS2 : guide général France et Luxembourg 2026

AI Act au Luxembourg : autorités, finance, NIS2

ReydenWeb au Luxembourg

Mon expertise Drupal au Luxembourg

Une mise en conformité NIS2 à mener au Luxembourg ?
Discutons-en de vive voix.

Nous contacter

Nous suivre

Nous contacter

Nous suivre

NIS2 au Luxembourg en 2026 : qui régule, portail ILR et filières concernées

Relevez-vous de NIS2 ? Tour d'horizon des filières luxembourgeoises

Un trio d'autorités : HCPN, ILR et CSSF

HCPN - pilotage stratégique et voix du pays en Europe

ILR - autorité de contrôle et portail centralisé

CSSF - tutelle de la place financière

Les autres régulateurs sectoriels

Ce qui change par rapport à la France

S'enregistrer sur le portail ILR, mode d'emploi

Étape 1 - Mesurer son assujettissement

Étape 2 - Ouvrir le compte et déclarer

Étape 3 - Être classé et accéder aux obligations

Durée et conseils pratiques

Quand NIS2 croise l'AI Act sous l'égide de l'ILR

Qui tombe sous le double régime

Exemples fréquents au Grand-Duché

Mon conseil d'organisation

Le Luxembourg face à la France, à la Belgique et à l'Allemagne

Approfondir le sujet

NIS2 : guide général France et Luxembourg 2026

AI Act au Luxembourg : autorités, finance, NIS2

ReydenWeb au Luxembourg

Mon expertise Drupal au Luxembourg

Une mise en conformité NIS2 à mener au Luxembourg ?Discutons-en de vive voix.

Une mise en conformité NIS2 à mener au Luxembourg ?
Discutons-en de vive voix.