Qu’implique l’introduction de la directive NIS2 pour votre entreprise ?

La directive « Sécurité des réseaux et de l’information » (dite directive NIS2) est entrée en vigueur le 18 octobre 2024. Elle succède à la directive NIS adoptée par l’Union européenne en 2016. L’objectif de ces directives est de renforcer le niveau commun de cybersécurité des États membres de l’UE en augmentant les exigences de mise en œuvre de la cybersécurité pour les secteurs d’infrastructures critiques. La directive NIS2 a donc été adoptée en vue de poursuivre et d’étendre la précédente directive NIS sur la cybersécurité, depuis lors abrogée.

Grâce à elle, notre pays renforcera les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociétales ou économiques critiques. Tom Van Britsom : « Il s’agit de secteurs essentiels, tels que l’énergie, les transports, le secteur bancaire, la santé, l’eau, l’infrastructure numérique et les infrastructures des marchés financiers. Concrètement, une entreprise de transport est considérée comme essentielle, car elle est responsable de notre approvisionnement alimentaire, notamment parce qu’elle transporte des pommes de terre jusqu’au supermarché. »

Les mesures qui s’appliquent aux entreprises dépendent non seulement du secteur dans lequel elles sont actives, mais également de leur taille. Il revient aux entrepreneurs d’évaluer correctement ces critères. Une entreprise relève généralement du champ d’application de la directive si elle est active dans l’un des (sous-)secteurs et types de services énumérés dans la liste des « secteurs hautement critiques » ou celle des « autres secteurs critiques » (voir illustration ci-dessous).

En principe, il s’agit de grandes et moyennes entreprises, c’est-à-dire qui emploient plus de 50 personnes et réalisent un chiffre d’affaires annuel d’au moins 10 millions d’euros (voir illustration ci-dessous). Les petites et micro-entreprises sont exclues du champ d’application, sauf indication contraire explicite.

Dans ce cas, vous êtes contraint de prendre des mesures de sécurité appropriées et proportionnées. Cette obligation comporte deux volets :

• Vous êtes notamment tenu de prévoir des mesures relatives à la gestion et à l’analyse de risques, des formations sur la cybersécurité, des obligations en matière de sécurité du personnel, etc.
• Vous avez, en outre, l’obligation de notifier les incidents graves et significatifs.
  • En cas d’incident grave, vous devez envoyer une alerte dans les 24 heures suivant la prise de connaissance de l’incident.
  • Une notification officielle doit également être envoyée dans les 72 heures suivant la prise de connaissance de l’incident.
  • Enfin, vous devez transmettre un rapport final aux autorités de contrôle dans un délai d’un mois à compter de la clôture de l’incident.

💡 Toutes les entreprises qui entrent dans le champ d’application de la loi sont tenues de s’enregistrer auprès du Centre pour la Cybersécurité Belgique (CCB) et de fournir des informations précises quant à leurs activités.

Le service d’inspection de l’autorité nationale de cybersécurité, le Centre pour la Cybersécurité Belgique (CCB), est chargé d’effectuer des inspections :

• Pour les entités essentielles, une évaluation obligatoire de la conformité par le CCB est prévue.
• Les entités importantes peuvent se soumettre à une évaluation de la conformité sur une base volontaire. Elles ne sont contraintes de se soumettre à un contrôle qu’à la suite d’un incident, mais il leur est tout de même conseillé de se préparer correctement.

Les sanctions sont très diverses, notamment des avertissements, des recommandations, une surveillance, des instructions contraignantes, des audits ciblés et ad hoc, des obligations de divulgation ou encore des amendes administratives.

Penchons-nous sur les sanctions les plus lourdes :

• Des sanctions administratives et des amendes peuvent être infligées. Les amendes varient selon le statut de l’entreprise : essentielle ou importante. Les amendes administratives peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
• Les administrateurs peuvent être tenus personnellement responsables. Ainsi, une interdiction d’exécuter leurs tâches peut leur être infligée. Ils peuvent également être contraints d’encore améliorer la cybersécurité en faisant suivre une formation sur la cybersécurité à l’équipe managériale ou aux collaborateurs.

Deux assurances peuvent être concernées dans le cadre des mesures de précaution que doivent prendre les entreprises ciblées par la directive NIS2 :

• L’assurance responsabilité d’administrateur : à l’heure actuelle, nous ne constatons pas (encore) d’impact, car aucun assureur n’exclut les conséquences de la directive NIS2.
• La cyberassurance : les amendes infligées par rapport à la politique de sécurité dans le cadre de l’application de la directive NIS2 sont de nature administrative, à l’instar des amendes dans le cadre du RGPD. Ces deux types d’amendes peuvent être couvertes par votre cyberassurance.

Nous proposons un vaste éventail de services, composé de quatre volets pour une protection optimale :

• Cyberassurance : nous vous proposons une couverture large et actuelle sur mesure avec une assistance professionnelle en cas d’incident.
• Formation sur le phishing : nous organisons des formations pour vous aider à créer un « pare-feu humain » au sein de votre entreprise.
• Cyber Security Workshop : dans le cadre d’un atelier interactif, nous vous accompagnons de A à Z dans la simulation d’un cyberincident réaliste, afin de vérifier comment votre entreprise réagirait en situation réelle. Recommandé par et pour les CFO !
• Business Continuity Plan et Cyber Incident Response Plan : nous vous fournissons une procédure prête à l’emploi, que vous pouvez suivre en cas de cyberincident.