La directive NIS2 entrera en vigueur à l’automne 2024. L’objectif est d’optimiser les mesures de cybersécurité et de gestion des incidents dans les États membres de l’UE. À quelles entreprises la directive s’applique-t-elle ? Qui en contrôle l’application, quelles sont les sanctions et quel est l’impact en termes d’assurance ? Nous nous faisons un plaisir de tout vous expliquer.
La directive « Sécurité des réseaux et de l’information » (dite directive NIS2, de son nom anglais « Network and Information Security ») succède à la directive NIS adoptée par l’Union européenne en 2016. L’objectif de ces directives est de renforcer le niveau commun de cybersécurité des États membres de l’UE en augmentant les exigences de mise en œuvre de la cybersécurité pour les secteurs d’infrastructures critiques.
La loi NIS2 entrera en vigueur le 18 octobre 2024. Grâce à elle, notre pays renforcera les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociétales ou économiques critiques. En outre, la loi améliore la coordination des politiques publiques en matière de cybersécurité. Le législateur fédéral met ainsi en œuvre les dispositions de la deuxième directive sur la cybersécurité, NIS2. Il s’agit donc d’une continuation et d’une extension de la précédente directive NIS sur la cybersécurité, qui sera abrogée.
Une entité relève du champ d’application de la directive si elle est active dans l’un des (sous-)secteurs et types de « secteurs hautement critiques »ou « autres secteurs critiques » de la directive et si elle atteint une certaine taille.
En principe, il s’agit de grandes et moyennes entreprises (à savoir qui emploient plus de 50 personnes et réalisent un chiffre d’affaires annuel d’au moins 10 millions d’euros). Les petites et micro-entreprises sont exclues du champ d’application, sauf indication contraire explicite.
Les entités relevant du champ d’application de la loi NIS2 sont tenues de prendre des mesures « appropriées et proportionnées » pour sécuriser leurs réseaux et leurs systèmes d’information, afin de prévenir et de gérer les cybermenaces et les incidents, et d’atténuer l’impact des incidents sur leurs clients et sur d’autres services. Elles sont notamment tenues de prévoir des mesures relatives à la gestion et à l’analyse de risques, des formations sur la cybersécurité, des obligations en matière de sécurité du personnel, etc.
En outre, les entités concernées ont l’obligation de notifier les incidents graves et significatifs. En cas d’incident grave, l’entité doit envoyer une alerte dans les 24 heures suivant la prise de connaissance de l’incident. Une notification officielle doit également être envoyée dans les 72 heures suivant la prise de connaissance de l’incident. Enfin, elle doit transmettre un rapport final aux autorités de contrôle dans un délai d’un mois à compter de la clôture de l’incident.
Outre l’obligation de notification des incidents graves et significatifs par les entités essentielles et significatives, une notification volontaire peut également être effectuée. Il peut s’agir de la notification d’incidents non significatifs et d’incidents significatifs, de cybermenaces ou de quasi-incidents par des entités non soumises à la loi NIS2.
Le service d’inspection de l’autorité nationale de cybersécurité, le Centre pour la Cybersécurité Belgique (CCB), est chargé d’effectuer des inspections et de vérifier si les entités essentielles et importantes adoptent des mesures appropriées de gestion des risques en matière de cybersécurité et si elles se conforment aux règles relatives à la notification des incidents.
Pour les entités essentielles, une évaluation obligatoire de la conformité par le CCB est prévue. Les entités importantes peuvent également se soumettre à une évaluation de la conformité. Il s’agit d’une démarche volontaire, car elles ne sont soumises à un contrôle qu’après un incident.
Toutes les entités qui entrent dans le champ d’application de la loi sont tenues de s’enregistrer auprès du CCB et de fournir des informations précises quant à leurs activités.
Les sanctions sont de deux ordres : des sanctions administratives et des amendes peuvent être infligées. Les amendes varient selon le statut de l’entreprise (essentielle ou importante) :
Il appartient aux organes de direction ou aux dirigeants des entités essentielles et importantes d’approuver les mesures de gestion des risques en matière de cybersécurité et de superviser leur mise en œuvre, puisqu’ils peuvent être tenus responsables des éventuels manquements.
Afin qu’ils comprennent les mesures qu’ils approuvent, les membres des organes de direction des entités essentielles et importantes devront suivre une formation de cybersécurité et offrir régulièrement une formation similaire aux membres de leur personnel. Ils devront acquérir des connaissances et des compétences suffisantes pour déterminer les risques et évaluer les mesures de gestion des risques en matière de cybersécurité et leur impact sur les services fournis par l’entité.
Les mesures possibles sont les suivantes : avertissements, recommandations, surveillance, instructions contraignantes, audits ciblés et ad hoc, obligations de divulgation et amendes administratives.
La cyberassurance représente un élément important des mesures de précaution que les entités concernées doivent adopter dans le cadre de la directive NIS2.
Avant de souscrire une cyberassurance, l’entreprise doit avoir mis en place certains éléments essentiels relatifs à la cybersécurité (tels que l’authentification multifactorielle, les sauvegardes hors ligne, etc.). Cela signifie que l’entreprise doit déjà procéder à une évaluation approfondie des risques et adopter les mesures appropriées pour pouvoir souscrire l’assurance. Cela renforce la cyberrésilience de l’entreprise.
En outre, en cas d’incident éventuel et afin qu’il puisse être traité aussi efficacement et rapidement que possible, cette assurance permettra à l’entreprise de demander l’aide d’un expert. La cyberassurance offre donc à la fois une protection financière et une continuité des activités.
Compte tenu des conditions spécifiques imposées aux administrateurs des entités concernées, il convient également de ne pas sous-estimer l’importance de la souscription d’une assurance responsabilité d’administrateur.
À court terme, l’introduction de la directive NIS2 ne devrait pas poser de problèmes en ce qui concerne la couverture de ces deux polices. Les assureurs devront probablement attendre de voir si les changements ont un impact.
La montée des dangers numériques n'a pas faibli en 2023. Selon le baromètre du risque, la cyberfraude apparaît devant les catastrophes naturelles, les crises énergétiques et même les risques de guerre. Notre cyberexpert Tom Van Britsom a donné plus de détails dans le journal francophone L'Echo.
Les entreprises belges sont plus que jamais conscientes des risques numériques et voient la nécessité de s’en protéger par le biais d’une cyberassurance. Les chiffres des sinistres de notre portefeuille Cyber montrent également que les cyberincidents coûtent de plus en plus cher aux entreprises belges. En 2022, le coût total d’un incident sur cinq a dépassé 100 000 euros.
Dans le premier épisode de notre podcast « Success Verzekerd », nous accueillons Tom Van Britsom, expert en cybersécurité. Tom est Manager Business Development et s’intéresse de près à la cybersécurité et à la cyberassurance.
Les chiffres relatifs aux sinistres du cyberportefeuille du courtier en assurances Vanbreda Risk & Benefits montrent que 90 % des cyberinfractions commises dans les entreprises en 2021 sont dues à une erreur humaine. Plus que jamais, il convient de miser sur la prévention et de former les collaborateurs à reconnaître les attaques de phishing de plus en plus professionnelles.