NIS2 au Luxembourg : quelles entreprises doivent se préparer

NIS2 est le nouveau cadre européen de cybersécurité, et les entreprises luxembourgeoises ne peuvent pas le traiter comme un simple sujet informatique. La directive couvre 18 secteurs critiques et élargit nettement le champ de NIS1.

La Commission européenne cite notamment l’énergie, les transports, la santé, la finance, l’eau, les infrastructures numériques, les communications électroniques, certains services numériques, les déchets, la fabrication critique, les services postaux, l’administration publique et l’espace.

En règle générale, les entités moyennes et grandes dans les secteurs couverts doivent mettre en place des mesures de gestion du risque cyber et notifier les incidents importants aux autorités nationales. L’objectif est de réduire les interruptions et les dommages.

La direction est directement concernée. NIS2 introduit une responsabilité du top management en cas de non-respect des mesures de gestion du risque. Gouvernance, sécurité des fournisseurs, gestion des vulnérabilités, plans d’incident et sensibilisation ne sont plus de simples formalités.

Une entreprise luxembourgeoise devrait commencer par déterminer si elle entre dans le périmètre : secteur, taille, services, fournisseurs, dépendances et canal de notification. Dans la finance, le cloud, la logistique, la santé ou les services publics, l’attente est risquée.