La directive NIS-2 a désormais été transposée en Belgique sous la loi du 26 avril 2024, baptisée Loi NIS 2, en vigueur depuis le 18 octobre 2024 en Belgique. Quelles sont les nouveautés vis-à-vis de l’ancien texte ?
Quelles nouvelles mesures doivent être mises en œuvre ?
Les organisations couvertes par NIS-2 sont soumises à de multiples obligations, plus ou moins contraignantes, en fonction de leur appartenance à la catégorie des entités essentielles ou importantes.
Notamment :
- Prendre des mesures techniques, organisationnelles et opérationnelles plus détaillées que précédemment. Parmi ces mesures, on retrouve :
- L’adoption d’un plan de continuité afin de garantir la résilience en cas de cyberattaque.
- La mise en place d’un audit de la chaîne d’approvisionnement, afin de mieux identifier et réduire les risques présents chez les fournisseurs.
- Une formation obligatoire en cybersécurité pour le personnel concerné.
- Une obligation de notification des incidents importants :
- par une alerte précoce dans les 24 heures,
- puis par une notification d’incident complète dans les 72 heures.
Le non-respect de ces obligations entraîne désormais des sanctions administratives substantielles, comparables à celles du RGPD :
- Pour une entité essentielle : jusqu’à 10 000 000 EUR ou 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
- Pour une entité importante : jusqu’à 7 000 000 EUR ou 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent.
Quelles différences entre les obligations de notification de la directive NIS-2 et du RGPD ?
NIS-2 | RGPD | |
Que concerne la notification ? | Concerne toutes brèches de sécurité et violations de données, personnelles ou non. | Ne concerne que les violations en lien avec des données à caractère personnel. |
Que faut-il notifier ? | Obligation de notification si l’incident a un impact important sur les réseaux et systèmes d’information d’une entité ou les utilisateurs des services de l’entité, en causant un dommage matériel, corporel ou moral considérable. | Obligation de notification si l’incident constitue un risque pour les droits et libertés des personnes physiques. |
A qui notifier ? | Notification d’une alerte précoce au CERT ou, selon le cas, à l’autorité compétente, dans les meilleurs délais et, si possible, dans les 24 heures après la prise de connaissance de l’incident. Notification d’incident dans les 72 heures. | Notification à l’APD dans les meilleurs délais, et si possible, 72 heures après la prise de connaissance de l’incident. |
Quand notifier aux clients ? | Notification, sans retard injustifié, de l’incident aux destinataires des services de l’entité | Si risque élevé pour les droits et libertés des personnes concernées, notification à celles-ci dans les meilleurs délais. |
Notre conseil :
La directive NIS-2, maintenant transposée en Belgique sous la loi du 26 avril 2024, est entrée en vigueur le 18 octobre 2024.
Le CCB fournit désormais un guide sur son site, permettant de vérifier si votre organisation doit être considérée comme une entité « essentielle » ou « importante ».
Si vous ne faites pas partie des catégories concernées à première vue, vous pourriez tout de même être identifiées par le CCB comme telles.
N’attendez donc pas pour prendre la mesure des nouvelles obligations et garantissez aujourd’hui la sécurité de vos systèmes. Attention aux deadlines de ces obligations !
Trouvez ici le replay de nos Earlegal concernant la directive et la loi NIS 2 :
- « Cybersécurité – Quels défis pour votre entreprise ? » du vendredi 24 novembre 2023
- « Cybersécurité – L’adaptation de NIS 2 dans la loi belge » du vendredi 18 octobre 2024