Les règles européennes en matière de cybersécurité ont fait peau neuve. Adoptée en 2016 dans l’objectif d’atténuer les menaces pesant sur les réseaux et les systèmes d’information, la première Directive concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union (Directive NIS) a rapidement montré ses limites et s’est vue remplacée par la Directive NIS2, transposée en Belgique par la loi NIS 2, entrée en vigueur le 18 octobre 2024.
Mon entreprise est-elle concernée ?
La directive NIS2 a considérablement élargi le nombre de secteurs concernés, car ceux-ci sont désormais considérés comme hautement dépendants des technologies de l’information et de la communication, parmi lesquels on retrouve entre autres :
- L’énergie ;
- Les transports ;
- Le secteur bancaire ;
- La santé ;
- Les services postaux ;
- La gestion de déchets ;
- La recherche.
Grande nouveauté de la directive, elle distingue désormais les entités dites essentielles de celles qualifiées d’importantes. Cela signifie que toutes les moyennes et grandes entreprises de ces secteurs seront soumises aux nouvelles règles. Les petites entreprises qui présentent des risques élevés en matière de cybersécurité pourront, elles aussi, être soumises à la loi belge transposant la Directive NIS2, au terme d’une procédure spécifique d’identification par le CBB ou l’autorité sectorielle concernée.
De plus, si vous n’êtes pas directement concerné, mais que vous faites partie de la chaîne d’approvisionnement d’une entreprise soumise à ces règles, il est conseillé d’adopter des mesures de cybersécurité adéquates. En effet, votre cocontractant vous imposera très certainement ces obligations contractuellement.
Comment mon entreprise doit-elle se conformer ?
La loi NIS2 propose une liste de onze mesures clés pour la gestion des risques que toute entreprise doit appliquer, allant de la gestion et la divulgation des incidents et des vulnérabilités, à l’utilisation de la cryptographie, en passant par la sécurité dans les chaînes d’approvisionnement.
De plus, les entreprises doivent s’enregistrer sur la plateforme SafeOnWeb pour le 18 mars 2025 et obtenir des certifications telles que CyberFundamentals ou ISO 27001, même si elles ne sont pas nécessairement suffisantes en soi pour être conformes.
Les entreprises sont également soumises à une obligation d’information quand elles sont confrontées à un incident de sécurité. Elles disposeront d’un délai de 24 heures pour alerter les autorités nationales. Elles auront ensuite 72 heures pour notifier les autorités de manière plus approfondie.
Quels sont les risques pour mon entreprise ?
La violation des dispositions de la loi NIS 2 peut entraîner l’application d’amendes administratives, allant de sept à dix millions d’euros, ou de 1,4 à 2 % du chiffre d’affaires annuel mondial total de l’entreprise, selon qu’elle soit considérée comme essentielle ou importante, le montant le plus élevé étant retenu. Des sanctions administratives supplémentaires peuvent aussi s’appliquer si les entreprises ne sont pas en conformité avec les deadlines de certification d’ici 2027.
Notre conseil :
Si votre entreprise est concernée par la loi NIS 2, il est crucial de bien comprendre vos obligations et de mettre en place les mesures nécessaires. Ne laissez pas les incertitudes vous exposer à des sanctions.
Si vous avez des interrogations sur l’appartenance de votre entreprise au champ d’application de la loi NIS 2 en tant qu’entité essentielle ou importante ou sur les obligations qui vous incombent, notre équipe reste à votre disposition pour vous assister. Contactez-nous !
