NIS2 en Luxemburgo

1. Panorama rápido de la aplicabilidad para pymes en Luxemburgo

¿Se aplica NIS2 a las pymes en 1. Panorama rápido de la aplicabilidad para pymes en Luxemburgo?

Sí — dependiendo del sector y del tamaño.

• Aplicabilidad automática a entidades medianas (≥50 empleados y ≥€10 million de volumen de negocios o total del balance) que operen en los sectores cubiertos.
• Las entidades pequeñas o micro solo se incluyen si han sido designadas formalmente o si operan en sectores de alta criticidad.
• Se aplica a las entidades establecidas en Luxemburgo y, en determinados casos, a los proveedores digitales extranjeros que prestan servicios al mercado luxemburgués.

Las pymes deben evaluar si quedan sujetas al marco nacional de ciberseguridad de Luxemburgo en función de la clasificación sectorial y de los umbrales legales.

2. Panorama general de la aplicación de NIS2 en Luxemburgo

Luxemburgo está transponiendo NIS2 mediante el Proyecto de Ley 8364 (Projet de loi n° 8364 concernant des mesures destinées à assurer un niveau élevé de cybersécurité), presentado en la Cámara de Diputados el 13 de marzo de 2024. A abril de 2026, el Proyecto aún no ha sido promulgado — Luxemburgo incumplió el plazo de transposición de la UE del 17 de octubre de 2024 y recibió un dictamen motivado de la CE en mayo de 2025 por no notificar la transposición completa.

El Consejo de Estado emitió una opinión complementaria en diciembre de 2025 validando parcialmente las enmiendas gubernamentales; el Proyecto está pendiente de adopción definitiva. El marco NIS1 sigue aplicándose en el ínterin.

Una vez promulgado, el Proyecto sustituirá la Ley NIS1 e introducirá un ámbito significativamente ampliado — de aproximadamente 1.000 entidades bajo NIS1 a unas estimadas 6.000–8.000 bajo NIS2, incluidos fabricantes medianos y municipios de más de 50.000 habitantes. El modelo de supervisión propuesto es una estructura de autoridad dividida: el Institut Luxembourgeois de Régulation (ILR) será la autoridad competente para la gran mayoría de sectores, mientras que la Commission de Surveillance du Secteur Financier (CSSF) supervisará banca, infraestructuras de mercados financieros, infraestructuras digitales y gestión de servicios TIC en el ámbito financiero. El HCPN conserva la responsabilidad de coordinación estratégica. El ILR ha lanzado la plataforma SERIMA como portal centralizado de notificación de incidentes y, eventualmente, de registro.

3. Ámbito de aplicación en Luxemburgo

El ámbito de Luxemburgo refleja las categorías sectoriales mínimas de la Directiva, sin expansión estructural confirmada.

4. Umbrales de tamaño y aplicabilidad a las pymes en Luxemburgo

Se aplican los umbrales básicos:

• ≥50 empleados y
• ≥€10 million de volumen de negocios anual o total del balance.

Las entidades que cumplan ambos criterios dentro de los sectores cubiertos quedan automáticamente incluidas en el ámbito de aplicación.

Las pequeñas y microempresas podrán ser designadas si se consideran críticas para la seguridad nacional, la estabilidad económica o la continuidad de los servicios esenciales.

Las autoridades luxemburguesas conservan competencias formales de designación cuando el riesgo sistémico justifique su inclusión.

5. Marco de clasificación de entidades en Luxemburgo

Las entidades se clasifican en:

• Entidades esenciales — Sujetas a supervisión proactiva, incluidas inspecciones y un seguimiento estructurado del cumplimiento.
• Entidades importantes — Sujetas principalmente a supervisión reactiva desencadenada por incidentes significativos o preocupaciones de cumplimiento.

La clasificación se determina por el sector y el tamaño. Las autoridades pueden reclasificar entidades cuando el impacto operativo o la exposición al riesgo justifiquen una supervisión reforzada.

Luxemburgo sigue la estructura de supervisión de dos niveles de la Directiva.

6. Requisitos de gestión de riesgos de ciberseguridad en Luxemburgo

El régimen nacional de Luxemburgo se alinea con la base establecida por la Directiva para la gestión de riesgos de ciberseguridad. Las entidades incluidas en el ámbito de aplicación deben implementar medidas técnicas y organizativas proporcionadas que aborden:

• Análisis de riesgos y protección de sistemas
• Detección y respuesta a incidentes
• Continuidad de negocio y gestión de crisis
• Controles de riesgos de la cadena de suministro conforme a NIS2 en Luxemburgo
• Adquisición y desarrollo seguros de sistemas TIC
• Control de acceso y gestión de identidades
• Cifrado y salvaguardas criptográficas
• Procedimientos de gestión de vulnerabilidades
• Formación del personal en ciberseguridad

Las medidas deben reflejar el estado del arte y la exposición al riesgo de la organización. Se fomenta la alineación con ISO/IEC 27001 y las directrices de ciberseguridad de Luxemburgo.

7. Responsabilidad de la dirección y gobernanza en Luxemburgo

Los órganos de gestión deben aprobar formalmente las medidas de gestión de riesgos de ciberseguridad y supervisar su implantación.

Conforme al marco luxemburgués:

• Los consejos de administración son responsables de la supervisión del cumplimiento.
• La alta dirección debe garantizar un nivel de competencia suficiente en ciberseguridad.
• Las sanciones administrativas pueden abordar deficiencias de gobernanza.
• La suspensión temporal de funciones directivas puede estar prevista en los mecanismos de ejecución alineados con la Directiva.

Las expectativas sobre la responsabilidad de la dirección en NIS2 en Luxemburgo elevan la gobernanza de la ciberseguridad a una responsabilidad de nivel ejecutivo.

8. Obligaciones de notificación de incidentes en Luxemburgo

9. Autoridades de supervisión y modelo de ejecución en Luxemburgo

Autoridad competente principal (propuesta bajo el Proyecto 8364, no promulgado): Institut Luxembourgeois de Régulation (ILR) para la gran mayoría de sectores; Commission de Surveillance du Secteur Financier (CSSF) para banca, infraestructuras de mercados financieros y las infraestructuras digitales y de gestión de servicios TIC asociadas. El HCPN (Haut-Commissariat à la Protection nationale) conserva la responsabilidad de coordinación estratégica de la política nacional de ciberseguridad, pero no es la autoridad principal de ejecución.

El modelo propuesto por Luxemburgo bajo el Proyecto 8364 es una estructura supervisora dividida: ILR lidera la mayoría de sectores y CSSF las entidades financieras, con HCPN como coordinador estratégico nacional. Esta estructura aún no es legalmente operativa — el marco NIS1 y sus disposiciones supervisoras actuales siguen aplicándose pendientes de la promulgación.

Las facultades de supervisión incluyen:

• Requerimientos de documentación e información
• Auditorías de seguridad
• Inspecciones in situ
• Instrucciones vinculantes de cumplimiento
• Participación en los mecanismos de coordinación de ciberseguridad de la UE

La estructura de ejecución propuesta se ajusta a los requisitos de cooperación a nivel de Directiva. Estas facultades supervisoras y de ejecución aún no son legalmente operativas pendientes de la promulgación del Proyecto 8364.

10. Multas y sanciones de NIS2 en Luxemburgo

Luxemburgo aplica sanciones administrativas alineadas con la Directiva.

Las medidas de ejecución de la NIS2 en Luxemburgo también pueden incluir:

• Órdenes vinculantes de subsanación
• Identificación pública de las entidades incumplidoras
• Suspensión de autorizaciones o certificaciones
• Facultades para suspender a directivos

Entidades Importantes: hasta 7 millones de € o el 1,4 % del volumen de negocios anual mundial total (la cifra que sea mayor).

11. Seguridad de la cadena de suministro y de proveedores en Luxemburgo conforme a NIS2

Las entidades deben gestionar la exposición al riesgo de ciberseguridad de terceros mediante:

• Evaluaciones de riesgos de proveedores
• Obligaciones contractuales de seguridad en cascada
• Monitorización continua de proveedores TIC
• Análisis del riesgo de concentración
• Mitigación de la propagación de incidentes

El enfoque de Luxemburgo se alinea con las expectativas básicas de la Directiva en materia de gestión del riesgo de proveedores.

12. Obligaciones de registro y autoidentificación en Luxemburgo

Las entidades incluidas en el ámbito de aplicación deben:

• Bajo el Proyecto 8364 (no promulgado), las entidades se autoregistrarán a través de la plataforma SERIMA del ILR. Las entidades ya cubiertas por NIS1 serán clasificadas automáticamente como entidades esenciales, aunque se recomienda el autorregistro. Actualmente no existe obligación de registro NIS2 en Luxemburgo — se aplica el marco NIS1 pendiente de la promulgación.
• Aportar datos de identificación corporativa
• Comunicar la clasificación sectorial
• Mantener actualizados los contactos de notificación

Los plazos de registro y los calendarios de cumplimiento se establecerán tras la promulgación del Proyecto 8364. Sobre la base de la orientación disponible, se prevé que el registro a través del portal del ILR se realice en los meses posteriores a la promulgación, con controles de gobernanza y cumplimiento técnico pleno escalonados a continuación.

La autoidentificación será obligatoria bajo la ley promulgada. Las entidades deberían realizar evaluaciones de ámbito ahora utilizando la orientación y FAQ publicadas por el ILR para determinar su clasificación probable como esenciales o importantes, en preparación para la promulgación.

13. Interacción con el RGPD y otras leyes en Luxemburgo

El Reglamento General de Protección de Datos sigue aplicándose en paralelo.

Entre las consideraciones de solapamiento figuran:

• Notificación de una violación de la seguridad de los datos personales en 72 horas
• Coordinación con la autoridad de control
• Investigaciones paralelas en materia de ciberseguridad y protección de datos
• Legislación luxemburguesa de ciberseguridad sectorial

Un ciberincidente puede desencadenar obligaciones de notificación en virtud de ambos regímenes.

14. Aplicabilidad transfronteriza

Las entidades con su establecimiento principal en Luxemburgo están supervisadas por las autoridades luxemburguesas en relación con los servicios transfronterizos.

Los prestadores digitales extranjeros que ofrezcan servicios en Luxemburgo pueden quedar sujetos a obligaciones nacionales en función de su estructura de establecimiento.

Los requisitos de representación siguen las normas de la Directiva para los prestadores no pertenecientes a la UE que operan en el mercado de Luxemburgo.

15. Calendario de aplicación en Luxemburgo

• Adopción de la Directiva: 2022
• Modificaciones legislativas nacionales: Proyecto 8364 (Projet de loi n° 8364) presentado en la Cámara de Diputados el 13 de marzo de 2024; enmienda gubernamental publicada el 13 de marzo de 2025; opinión complementaria del Consejo de Estado emitida en diciembre de 2025 — validando parcialmente las enmiendas y solicitando ajustes adicionales; Proyecto pendiente de adopción definitiva.
• Entrada en vigor: No promulgado a abril de 2026; promulgación esperada durante 2026; la ley NIS1 sigue vigente entretanto.
• Notificación a la Comisión: Dictamen motivado de la CE emitido el 7 de mayo de 2025 por no notificar la transposición completa; remisión al Tribunal de Justicia de la UE sigue siendo posible si la promulgación se demora más.
• Hito de cumplimiento: Sin plazos NIS2 actualmente activos; los hitos de registro, organizativos y técnicos se establecerán tras la promulgación y se prevé que se escalonen a lo largo de 2026–2028.

Luxemburgo incumplió el plazo de transposición NIS2 de la UE del 17 de octubre de 2024 y sigue sometido a procedimientos de infracción de la CE. El Proyecto 8364 está pendiente de adopción definitiva por la Cámara de Diputados. NIS1 sigue aplicándose a las entidades reguladas existentes. La promulgación y el lanzamiento del portal de registro del ILR están previstos para 2026; las entidades deberían completar las evaluaciones de ámbito ahora en preparación.

16. Conclusiones clave para las pymes en Luxemburgo

• Las entidades medianas en sectores cubiertos quedarán automáticamente en el ámbito una vez promulgado el Proyecto 8364. El ámbito propuesto por Luxemburgo es significativamente más amplio que NIS1 — pasando de aproximadamente 1.000 a unas estimadas 6.000–8.000 entidades, incluidos fabricantes medianos y municipios de más de 50.000 habitantes.
• Las pequeñas entidades pueden ser designadas si son críticas para la estabilidad nacional o económica.
• La supervisión de gobernanza a nivel de consejo es obligatoria.
• La notificación de incidentes seguirá los plazos 24h / 72h / 1 mes una vez promulgado el Proyecto 8364. Las notificaciones se enviarán a través de la plataforma SERIMA del ILR — al ILR para la mayoría de sectores y a la CSSF para las entidades del sector financiero.
• Las sanciones financieras pueden alcanzar los 10 millones de € o el 2 % del volumen de negocios mundial.
• La gestión de riesgos de proveedores es obligatoria.
• El Proyecto 8364 aún no se ha promulgado, pero la promulgación se espera durante 2026. Las entidades deberían realizar evaluaciones de ámbito ahora utilizando la orientación y FAQ publicadas por el ILR, determinar si quedan bajo supervisión del ILR o de la CSSF, y preparar la información de registro para el portal SERIMA.

Preguntas frecuentes: Guía NIS2 para pymes en Luxemburgo