Depuis le 16 janvier 2023, la directive NIS2 a fait son entrée en scène, modifiant de manière significative les règles de la cybersécurité. La directive (UE) 2022/2555, entrée en vigueur à cette date, marque une nouvelle phase avec d'importantes conséquences pour la sécurité numérique dans l'Union européenne. Pour les entreprises belges naviguant dans les eaux complexes de cette révolution numérique, il est crucial de découvrir ce que NIS2 implique exactement et quand cette directive sera pleinement applicable.
Notez que la Belgique est chargée de mettre en œuvre de nouvelles dispositions pour remplacer la législation NIS actuelle d'ici le 17 octobre 2024, et les préparatifs sont déjà en cours. Préparez-vous à une nouvelle ère de cybersécurité.
Qu'est-ce que NIS2 ?
Imaginez : novembre 2022, le mois où l'Union européenne introduit NIS2, une version révisée de la directive sur les réseaux et les systèmes d'information (NIS). NIS1 avait pris la première étape vers une approche uniforme de la cybersécurité dans différents États membres. Mais le chemin d'un pionnier comporte des défis. NIS2 est la clé d'une sécurité renforcée, d'un reporting simplifié et de mesures de surveillance et de sanctions plus intensives. Considérez-le comme votre ange gardien numérique, prêt à agir contre les menaces dans le domaine en ligne.
Quelles entreprises sont concernées ?
NIS2 a un impact considérable sur divers secteurs, visant à améliorer la cybersécurité. Cette directive cible les entreprises de taille moyenne (plus de 50 employés ou un chiffre d'affaires de plus de 10 millions d'euros) et les grandes entreprises (plus de 250 employés ou un chiffre d'affaires de plus de 50 millions d'euros) dans différents secteurs critiques. Contrairement à NIS1, où les États membres devaient désigner eux-mêmes les fournisseurs, NIS2 propose des lignes directrices plus claires, renomme des secteurs et en augmente le nombre.
La règle est simple : toutes les organisations au sein d'un secteur essentiel avec plus de 50 employés et un chiffre d'affaires de plus de 10 millions d'euros sont considérées comme des fournisseurs essentiels. Cependant, les États membres ont la possibilité de désigner également comme essentiels les organisations comptant moins de 50 employés et moins de 10 millions d'euros de chiffre d'affaires dans ce secteur.
Les secteurs comprennent non seulement les "secteurs essentiels", mais introduisent également une nouvelle catégorie, les "secteurs importants". La distinction entre "essentiel" et "important" réside dans le niveau de surveillance, les entités essentielles étant soumises à une surveillance proactive et les entités importantes à une surveillance réactive. Cela élargit considérablement la portée des entreprises couvertes par cette réglementation.
Secteurs d'origine :
Santé
Transport
Banque
Infrastructure des marchés financiers
Infrastructure numérique
Approvisionnement en eau
Énergie
Prestataires de services numériques
Secteurs essentiels :
Énergie
Transport
Banque
Infrastructure des marchés financiers
Santé
Approvisionnement en eau potable
Eaux usées
Infrastructure numérique
Gestion ICT (B2B)
Secteur public
Espace
Secteurs critiques :
Services postaux et de messagerie
Gestion des déchets Industrie chimique
Industrie alimentaire
Production Prestataires de services numériques
Recherche
Quels sont les principaux changements par rapport à NIS1 ?
Outre l'extension des secteurs et des fournisseurs, il existe des différences entre NIS1 et NIS2 en termes d'exigences de sécurité.
Rapports obligatoires : Au cœur de NIS2, il y a l'obligation pour des entités spécifiques au sein de secteurs critiques et de fournisseurs de services essentiels de signaler des incidents majeurs de cybersécurité aux autorités nationales désignées. Ce mécanisme de signalement proactif facilite l'identification rapide d'infractions significatives, permettant des stratégies de réponse rapides limitant les dommages potentiels.
Portée élargie : Alors que NIS1 se concentrait sur les opérateurs dans des secteurs tels que l'énergie, le transport, la banque, les marchés financiers et la santé, NIS2 élargit son champ d'application. Il englobe désormais un spectre encore plus large d'industries, notamment les services d'infrastructure numérique, les places de marché en ligne et certains services de cloud computing.
Mesures de sécurité renforcées : NIS2 élève le niveau des mesures de sécurité, mettant l'accent sur la gestion des risques, des protocoles de sécurité robustes et des plans complets de réponse aux incidents. Ce cadre amélioré permet aux organisations de résister efficacement aux menaces cybernétiques et de protéger leurs écosystèmes numériques.
Quel est le compte à rebours vers la mise en œuvre de NIS2 ?
Le voyage vers NIS2 a commencé en décembre 2020 avec la proposition, et d'ici novembre 2022, l'UE a donné son feu vert. Entre maintenant et 2024, chaque État membre doit aligner ses mesures de cybersécurité.
Le compte à rebours vers la mise en œuvre de NIS2 a commencé. D'ici 2024, chaque État membre doit aligner ses mesures de cybersécurité. On prévoit que les lois entreront en vigueur d'ici la fin de 2024, après délibération parlementaire. Les organisations relevant de la directive NIS2 doivent dès lors respecter les obligations de devoir de diligence et de signalement.
Quelles sont les sanctions liées à la conformité NIS2 ?
Curieux des conséquences d'une non-conformité à NIS2 ? C'est un chemin qu'il vaut mieux éviter, car les sanctions peuvent être assez sévères. Ces répercussions comprennent le retrait de certifications, des délais stricts de conformité, des amendes et une responsabilité légale potentielle.
Les États membres doivent s'assurer que les organisations relevant de NIS2 prennent des mesures appropriées et signalent les incidents, ce qui peut être appliqué par le biais d'audits externes et d'inspections. En Belgique, ces États membres incluent le CCB (Centre de cybersécurité) et le BIPT (Institut belge des services postaux et des télécommunications).
Les autorités compétentes disposent de divers moyens, allant des avertissements aux amendes, pour faire respecter la conformité. Les amendes pour non-respect des mesures de gestion des risques varient en fonction de l'entité :
Entités essentielles : jusqu'à 10 000 000 euros ou 2 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé.
Entités importantes : jusqu'à 7 000 000 euros ou 1,4 % du chiffre d'affaires annuel mondial, selon le montant le plus élevé. Les agences gouvernementales peuvent être exemptes d'amendes, mais d'autres sanctions restent valables.
Les États membres ont également le pouvoir d'imposer des sanctions en cas de non-conformité, et les personnes physiques occupant des postes de direction sont responsables du non-respect de la directive.
Outre les amendes, les sanctions possibles comprennent :
Imposer des délais de conformité ou de correction des vulnérabilités et des incidents.
Divulgation publique du non-respect.
Cessation obligatoire des services ou des activités.
Suspension du PDG ou des représentants légaux.
Pour des informations détaillées sur les sanctions, consultez les articles 31 à 37 de la directive.
Préparez votre organisation à la directive NIS2
Que votre organisation soit déjà bien préparée ou qu'elle soit au début du processus, les exigences de la directive NIS2 sont inévitables. La Belgique doit adopter de nouvelles dispositions pour remplacer la loi NIS existante d'ici le 17 octobre 2024, sur la base de la nouvelle directive. En particulier dans les domaines de la PKI et de la gestion des certificats, les entreprises doivent revoir leurs stratégies, outils et processus pour protéger l'infrastructure critique et maintenir la confiance dans le vaste paysage des technologies de l'information et de l'Internet des objets (IoT).
Bien que les nouvelles obligations ne prendront effet qu'à la fin de la période de mise en œuvre, il est sage pour les entreprises de commencer dès maintenant à élever le niveau de cybersécurité. Le CCB a publié le cadre Cyberfundamentals, un outil qui peut aider les entreprises à porter leur sécurité à un niveau approprié dès maintenant.