La directive NIS-1 bientôt abrogée !
En 2016 était adoptée la directive NIS-1. Celle-ci visait à augmenter le niveau de cybersécurité des entreprises. Malgré de belles avancées en la matière, le réexamen de la directive a permis d’identifier plusieurs insuffisances face aux menaces actuelles.
Le Parlement et le Conseil européens ont finalement adopté la directive NIS-2, qui est entrée en vigueur le 16 janvier 2023 et viendra abroger son ainée le 17 octobre 2024.
La nouvelle directive NIS-2 vise principalement à :
- Étendre le champ d’application ;
- Renforcer la gestion des risques et des incidents.
A qui s’applique la directive NIS-2 ?
Secteurs critiques ou hautement critiques ?
La notion d’opérateurs de services essentiels (OSE), utilisée dans NIS-1, disparaît.
La directive liste en sa première annexe les secteurs considérés comme « hautement critiques », comme :
- L’énergie;
- Les transports;
- Le secteur bancaire et les infrastructures de marchés financiers;
- La Santé;
- L’eau potable et les eaux usées;
- Les infrastructures numériques;
- Etc.
La deuxième annexe liste quant à elle les « autres secteurs critiques » comme :
- Les services postaux et d’expédition;
- La gestion des déchets;
- La fabrication, production et distribution de produits chimiques.
Ce n’est que concernant l’administration que la Belgique devra définir les autorités qui devront être considérées comme des entités des pouvoirs publics centraux ou des entités au niveau régional.
La nouvelle directive NIS-2 étend le spectre des secteurs concernés, par exemples à la production de denrées alimentaires, à certains laboratoires ou centres de recherche et de développement, la production de médicaments…
Grande entreprise ou moyenne entreprise ?
Elle définit également des entités « essentielles » et « importantes », auxquelles s’appliqueront différentes obligations. Afin de savoir si votre organisation se trouve dans l’une ou l’autre de ces catégories, il faut déterminer s’il s’agit d’une grande, moyenne ou petite entreprise. Constitue une « grande entreprise » une entité qui :
- soit emploie minimum 250 personnes,
- soit a un chiffre d’affaires annuel d’au moins 50 millions d’euros,
- soit dont le total du bilan annuel est d’au moins 43 millions d’euros,
Constitue une « moyenne entreprise » une entité qui :
- soit emploie minimum 50 personnes,
- soit dont le chiffre d’affaires annuel se situe entre 10 millions d’euros et 50 millions d’euros,
- soit dont le total du bilan annuel se situe entre 10 millions et 43 millions d’euros,
Si votre organisation se situe sous l’ensemble de ses seuils, elle est considérée comme une petite entreprise ou une micro-entreprise, et est en principe exclue du champ d’application de la directive.
Entité essentielle ou importante ?
Lorsque l’on croise ces critères, on détermine si une organisation doit être considérée comme une entité essentielle ou importante :
Secteurs hautement critiques | Secteurs critiques | |
Grandes entreprises | Entités essentielles | Entités importantes |
Moyennes entreprises | Entités importantes | Entités importantes |
Petites entreprises Micro-entreprises | X | X |
Nous reviendrons plus tard sur les différentes obligations auxquelles doivent se préparer ces 2 catégories d’entités.
Unsere Empfehlung:
La directive a été publiée au Journal officiel le 27 décembre 2022. Elle devra être transposée en Belgique au plus tard le 17 octobre 2024.
Si vous êtes considéré comme une entité „essentielle“ ou „importante“, n’attendez pas pour prendre la mesure des nouvelles obligations qui s’appliqueront à vous.
Afin de ne manquer aucune information, nous vous invitons à souscrire à notre service gratuit d’information juridique, en cliquant ici.
L’occasion d’obtenir toutes les réponses aux défis posés par la cybersécurité !