La directive NIS-2 remplacera bientôt l‘actuelle directive NIS. Quelles seront les nouveautés ?
Quelles nouvelles mesures devront être prises ?
Les organisations couvertes par la nouvelle directive seront soumises à de nouvelles obligations, plus ou moins contraignantes, en fonction de leur appartenance à la catégorie des entités essentielles ou importantes.
Notamment :
- obligation de prendre des mesures techniques, opérationnelles et organisationnelles plus détaillées qu’aujourd’hui, telles que :
- l’adoption d’un plan de continuité,
- un audit de la chaine d’approvisionnement.
- obligation de suivre une formation en matière de cybersécurité.
- obligation de notification des incidents importants :
- par une alerte précoce dans les 24 heures,
- puis par une notification d’incident complète dans les 72 heures.
Le non-respect de ces obligations pourra dorénavant entraînera des sanctions administratives, comparables à celles prévues par le RGPD :
- entité essentielle : jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent,
- entité importante : jusqu’à 7 000 000 EUR ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Quelles différences entre les obligations de notification de la directive NIS-2 et du RGPD ?
| NIS-2 | RGPD | |
| Que concerne la notification ? | Concerne toutes brèches de sécurité et violations de données, personnelles ou non. | Ne concerne que les violations en lien avec des données à caractère personnel. |
| Que faut-il notifier ? | Obligation de notification si l’incident a un impact important sur les réseaux et systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable. | Obligation de notification si l’incident constitue un risque pour les droits et libertés des personnes physiques. |
| A qui notifier ? | Notification d’une alerte précoce au CERT ou, selon le cas, à l’autorité compétente, dans les meilleurs délais et, si possible, dans les 24 heures après la prise de connaissance de l’incident. Notification d’incident dans les 72 heures. | Notification à l’APD dans les meilleurs délais, et si possible, 72 heures après la prise de connaissance de l’incident. |
| Quand notifier aux clients ? | Notification, sans retard injustifié, de l’incident aux destinataires des services de l’entité | Si risque élevé pour les droits et libertés des personnes concernées, notification à celles-ci dans les meilleurs délais. |
Notre conseil :
La directive a été publiée au Journal officiel le 27 décembre 2022. Elle devra être transposée en Belgique au plus tard le 17 octobre 2024.
Vérifiez ici si votre organisation sera considérée comme une entité « essentielle » ou « importante ».
Et n’attendez pas pour prendre la mesure des nouvelles obligations qui s’appliqueront à vous !
