Qu’implique l’introduction de la directive NIS2 pour votre entreprise ?

La directive NIS2 entrera en vigueur à l’automne 2024. L’objectif est d’optimiser les mesures de cybersécurité et de gestion des incidents dans les États membres de l’UE. À quelles entreprises la directive s’applique-t-elle ? Qui en contrôle l’application, quelles sont les sanctions et quel est l’impact en termes d’assurance ? Nous nous faisons un plaisir de tout vous expliquer.

I Stock 874075212

Qu’est-ce que la directive NIS2 ?

La directive « Sécurité des réseaux et de l’information » (dite directive NIS2, de son nom anglais « Network and Information Security ») succède à la directive NIS adoptée par l’Union européenne en 2016. L’objectif de ces directives est de renforcer le niveau commun de cybersécurité des États membres de l’UE en augmentant les exigences de mise en œuvre de la cybersécurité pour les secteurs d’infrastructures critiques.

La loi NIS2 entrera en vigueur le 18 octobre 2024. Grâce à elle, notre pays renforcera les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociétales ou économiques critiques. En outre, la loi améliore la coordination des politiques publiques en matière de cybersécurité. Le législateur fédéral met ainsi en œuvre les dispositions de la deuxième directive sur la cybersécurité, NIS2. Il s’agit donc d’une continuation et d’une extension de la précédente directive NIS sur la cybersécurité, qui sera abrogée.

Quelles sont les entreprises concernées par cette directive ?

Une entité relève du champ d’application de la directive si elle est active dans l’un des (sous-)secteurs et types de « secteurs hautement critiques »ou « autres secteurs critiques » de la directive et si elle atteint une certaine taille.

CCB Infographic1 NIS2 F crop
*Source: le Centre pour la Cybersécurité Belgique (CCB)

En principe, il s’agit de grandes et moyennes entreprises (à savoir qui emploient plus de 50 personnes et réalisent un chiffre d’affaires annuel d’au moins 10 millions d’euros). Les petites et micro-entreprises sont exclues du champ d’application, sauf indication contraire explicite.

CCB Infographic3 NIS2 F crop
*Source: le Centre pour la Cybersécurité Belgique (CCB)

Que se passe-t-il si votre entreprise entre dans le champ d’application de la loi ?

Les entités relevant du champ d’application de la loi NIS2 sont tenues de prendre des mesures « appropriées et proportionnées » pour sécuriser leurs réseaux et leurs systèmes d’information, afin de prévenir et de gérer les cybermenaces et les incidents, et d’atténuer l’impact des incidents sur leurs clients et sur d’autres services. Elles sont notamment tenues de prévoir des mesures relatives à la gestion et à l’analyse de risques, des formations sur la cybersécurité, des obligations en matière de sécurité du personnel, etc.

En outre, les entités concernées ont l’obligation de notifier les incidents graves et significatifs. En cas d’incident grave, l’entité doit envoyer une alerte dans les 24 heures suivant la prise de connaissance de l’incident. Une notification officielle doit également être envoyée dans les 72 heures suivant la prise de connaissance de l’incident. Enfin, elle doit transmettre un rapport final aux autorités de contrôle dans un délai d’un mois à compter de la clôture de l’incident.

Outre l’obligation de notification des incidents graves et significatifs par les entités essentielles et significatives, une notification volontaire peut également être effectuée. Il peut s’agir de la notification d’incidents non significatifs et d’incidents significatifs, de cybermenaces ou de quasi-incidents par des entités non soumises à la loi NIS2.

Quel est l’organisme compétent pour assurer le suivi ?

Le service d’inspection de l’autorité nationale de cybersécurité, le Centre pour la Cybersécurité Belgique (CCB), est chargé d’effectuer des inspections et de vérifier si les entités essentielles et importantes adoptent des mesures appropriées de gestion des risques en matière de cybersécurité et si elles se conforment aux règles relatives à la notification des incidents.

Pour les entités essentielles, une évaluation obligatoire de la conformité par le CCB est prévue. Les entités importantes peuvent également se soumettre à une évaluation de la conformité. Il s’agit d’une démarche volontaire, car elles ne sont soumises à un contrôle qu’après un incident.

Toutes les entités qui entrent dans le champ d’application de la loi sont tenues de s’enregistrer auprès du CCB et de fournir des informations précises quant à leurs activités.

Quelles sont les sanctions prévues en cas de non-respect de la directive NIS2 ?

Les sanctions sont de deux ordres : des sanctions administratives et des amendes peuvent être infligées. Les amendes varient selon le statut de l’entreprise (essentielle ou importante) :

  • Pour les entreprises essentielles, les amendes prévues peuvent atteindre 10 millions d’euros ou 2 % de leur chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.
  • Pour les entreprises importantes, les amendes peuvent atteindre 7 millions d’euros ou 1,4 % de leur chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.

Il appartient aux organes de direction ou aux dirigeants des entités essentielles et importantes d’approuver les mesures de gestion des risques en matière de cybersécurité et de superviser leur mise en œuvre, puisqu’ils peuvent être tenus responsables des éventuels manquements.

Afin qu’ils comprennent les mesures qu’ils approuvent, les membres des organes de direction des entités essentielles et importantes devront suivre une formation de cybersécurité et offrir régulièrement une formation similaire aux membres de leur personnel. Ils devront acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les mesures de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.

Les mesures possibles sont les suivantes : avertissements, recommandations, surveillance, instructions contraignantes, audits ciblés et ad hoc, obligations de divulgation et amendes administratives.

Quel est l’impact de la directive NIS2 sur les assurances ?

La cyberassurance représente un élément important des mesures de précaution que les entités concernées doivent adopter dans le cadre de la directive NIS2.

Avant de souscrire une cyberassurance, l’entreprise doit avoir mis en place certains éléments essentiels relatifs à la cybersécurité (tels que l’authentification multifactorielle, les sauvegardes hors ligne, etc.). Cela signifie que l’entreprise doit déjà procéder à une évaluation approfondie des risques et adopter les mesures appropriées pour pouvoir souscrire l’assurance. Cela renforce la cyberrésilience de l’entreprise.

En outre, en cas d’incident éventuel et afin qu’il puisse être traité aussi efficacement et rapidement que possible, cette assurance permettra à l’entreprise de demander l’aide d’un expert. La cyberassurance offre donc à la fois une protection financière et une continuité des activités.

Compte tenu des conditions spécifiques imposées aux administrateurs des entités concernées, il convient également de ne pas sous-estimer l’importance de la souscription d’une assurance responsabilité d’administrateur.

À court terme, l’introduction de la directive NIS2 ne devrait pas poser de problèmes en ce qui concerne la couverture de ces deux polices. Les assureurs devront probablement attendre de voir si les changements ont un impact.

Mes­sages liés

WPEF07022

Réforme du Code Civil : impact sur la res­pon­sa­bi­li­té extracontractuelle

Assurance responsabilité civile
15.04.2024

Dans le cadre d'une réforme globale du code civil, le livre 6 du nouveau Code Civil a été adopté le 1er février 2024. Ce nouveau livre 6 prévoit notamment l'abolition de l'interdiction de concurrence entre la responsabilité contractuelle et extracontractuelle et de la quasi-immunité de l'agent d'exécution. Notre expert Inge Van Hemeledonck explique ci-dessous ce que cela signifie pour les sous-traitants, les administrateurs, les employés et quel sera l'impact sur les polices d'assurance.

En savoir plus
En savoir plus sur Réforme du Code Civil : impact sur la responsabilité extracontractuelle