La directive NIS 2 a été adoptée : êtes-vous concerné ?

La directive NIS-1 a été abrogée !

Depuis le 17 octobre 2024, la directive NIS-1 c’est du passé ! Cette directive a été abrogée et remplacée par la directive NIS-2, entrée en vigueur le 17 octobre 2024.

La directive NIS 2 a également été transposée en droit belge dans la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et systèmes d’information.

La nouvelle directive NIS-2 vise principalement à :

• Continuer les efforts de la directive NIS 1 pour améliorer la sécurité des entreprises face aux risques grandissants en matière de cybersécurité ;
• Étendre le champ d’application de NIS 1 à de nouveaux secteurs et entreprises ;
• Renforcer la gestion des risques et des incidents en imposant des exigences plus strictes en matière de cybersécurité.

À qui s’applique la directive NIS-2 ?

Secteurs critiques ou hautement critiques ?

La notion d’opérateurs de services essentiels (OSE) utilisée dans NIS-1 a disparu pour laisser place à un nouveau champ d’application pour les obligations de sécurité prévues dans la nouvelle directive.

La directive liste en sa première annexe les secteurs considérés comme « hautement critiques », comme :

• L’énergie;
• Les transports;
• Le secteur bancaire et les infrastructures de marchés financiers;
• La Santé;
• L’eau potable et les eaux usées;
• Les infrastructures numériques;
• Les administrations publiques;
• L’espace.

La deuxième annexe liste quant à elle les « autres secteurs critiques » comme :

• Les services postaux et d’expédition;
• La gestion des déchets;
• La fabrication, production et distribution de produits chimiques;
• Production, transformation et distribution des denrées alimentaires;
• La fabrication de dispositifs médicaux et de produits informatiques;
• Les fournisseurs numériques;
• La recherche.

La nouvelle directive NIS-2 étend sensiblement le spectre des secteurs concernés, par exemple à la production de denrées alimentaires, à certains laboratoires ou centres de recherche et de développement, à la production de médicaments…

Grande entreprise ou moyenne entreprise ?

La directive NIS 2 définit également les entités « essentielles » et « importantes », auxquelles s’appliquent différentes obligations.

Afin de savoir si votre organisation se trouve dans l’une ou l’autre de ces catégories, il faut déterminer s’il s’agit d’une grande, moyenne ou petite entreprise.

Constitue une « grande entreprise » une entité qui :

• soit emploie minimum 250 personnes,
• soit a un chiffre d’affaires annuel d’au moins 50 millions d’euros,
• soit dont le total du bilan annuel est d’au moins 43 millions d’euros,

Constitue une « moyenne entreprise » une entité qui :

• soit emploie minimum 50 personnes,
• soit dont le chiffre d’affaires annuel se situe entre 10 millions d’euros et 50 millions d’euros,
• soit dont le total du bilan annuel se situe entre 10 millions et 43 millions d’euros,

Si votre organisation se situe sous l’ensemble de ses seuils, elle est considérée comme une petite entreprise ou une micro-entreprise, et est en principe exclue du champ d’application de la directive.

Entité essentielle ou importante ?

Lorsque l’on croise ces critères, on détermine si une organisation doit être considérée comme une entité essentielle ou importante :

La directive NIS 2 et la loi NIS 2 prévoient toutefois plusieurs exceptions. En effet, certaines entités sont soumises aux obligations quelle que soit leur taille. C’est le cas par exemple pour les prestataires de services de confiance qualifiés ou encore pour les fournisseurs de services DNS (système de nom de domaine).

Pour connaître les obligations imposées aux entreprises en vertu de la directive NIS 2, nous vous renvoyons à notre news sur le sujet.