RGDP & Cybersécurité
21 septembre 2023

La nouvelle directive NIS2 sur la cybersécurité : par où commencer

par Gorik Van den Bergh et Frederik Vervoort

En décembre 2022, le Parlement européen a adopté la directive NIS2 relative à la sécurité des réseaux et des systèmes d'information afin de garantir un niveau de cybersécurité plus élevé dans l'UE. Il appartient désormais à la Belgique d'introduire d'ici le 17 octobre 2024 une nouvelle législation remplaçant la loi NIS existante. Dans ce premier article, nous nous pencherons principalement sur les questions suivantes : Qu'est-ce que la directive NIS2 ? Pourquoi est-elle importante ? S'applique-t-elle à mon organisation ? Dans une deuxième partie, nous développerons les mesures concrètes et les procédures qui en découlent.

Qu'est-ce que la directive NIS2 ?

En 2016, l'Union européenne a introduit la directive sur la sécurité des réseaux et des systèmes d'information (directive NIS). Cette première directive NIS (NIS1) impose des exigences strictes en matière de cybersécurité aux entreprises considérées comme essentielles, telles que les entreprises du secteur de l'eau, de l'énergie et des télécommunications. Après évaluation de la directive NIS1 par la Commission européenne, il a été constaté que son champ d'application était trop limité et qu'il y avait des incohérences entre les États membres, ce qui nuisait à son efficacité. C’est ainsi qu’est née la nouvelle directive NIS à savoir NIS2. L'introduction de NIS2 élargit le champ d'application.

Pourquoi la directive NIS2 est-elle importante ?

Nos secteurs les plus essentiels, tels que les transports, l'énergie, la santé et la finance, sont de plus en plus dépendants des technologies numériques pour mener à bien leurs activités principales, et sont donc de plus en plus vulnérables aux cybermenaces. Les incidents de cybersécurité s’aggravent, se complexifient et ont souvent de graves répercussions économiques et sociales. La directive NIS2 en tient compte et insiste sur la nécessité de prendre des mesures efficaces pour protéger les réseaux et les systèmes d'information. Ces mesures visent à réduire la vulnérabilité de votre organisation et à accroître sa résilience face aux cyberattaques.

Quelles sont les nouveautés de NIS2 ?

Quelques observations clés :

  • Davantage d'organisations, y compris des PME dans certains secteurs, seront tenues de mettre en œuvre des mesures de sécurité ;

  • Des exigences plus importantes sont imposées autour de* :

  1. La gestion des risques

  2. La gestion des incidents (prévention, détection et réponse) et rapports d'incidents

  3. La continuité des activités et la gestion des crises

  4. La sécurité de la chaîne d'approvisionnement (en insistant sur les relations avec les fournisseurs)

  5. Davantage de transparence dans la divulgation et la gestion des vulnérabilités

  6. La coopération entre les États membres ;

  • NIS2 classe les organisations en fonction de leur importance et les divise en entités essentielles et importantes ;

  • NIS2 n'exige plus des organisations qu'elles fassent l'objet d'un audit externe ou qu'elles obtiennent la certification ISO27001. Toutefois, les organisations devront - comme pour la législation RGPD - être en mesure de démontrer à tout moment aux autorités nationales qu'elles respectent la réglementation NIS2. Les autorités nationales auront également la compétence pour prendre des mesures et inciter les organisations à se mettre en conformité. Outre les mesures administratives, des amendes pourront également être imposées (voir ci-dessous).

*Dans une publication ultérieure, nous examinerons plus en détail les exigences dans les domaines énumérés.

La directive NIS2 s'applique-t-elle à mon organisation ?

Comme indiqué précédemment, la transposition de la directive NIS2 en droit belge n’a pas encore eu lieu et elle peut s’écarter de la directive européenne. Précisons par conséquent, les informations ci-dessous sont basées sur la directive NIS2 existante.

La directive NIS2 vise les secteurs déjà couverts par la première directive NIS ainsi que certains nouveaux secteurs. Il est important de noter que les organisations peuvent automatiquement être couvertes par la directive NIS2 si elles opèrent dans l'un des secteurs énumérés ci-dessous et sont caractérisées comme une entité "essentielle" ou "importante" selon les critères :

Entités essentielles

Les entités essentielles selon NIS2 sont de grandes organisations opérant dans un secteur énuméré à l'annexe I de la directive NIS2. Les grandes organisations sont celles qui ont (1) au moins 250 salariés ou (2) un chiffre d'affaires annuel d'au moins 50 millions d'euros ou (3) un total de bilan annuel d'au moins 43 millions d'euros.

Entités importantes

Les entités importantes selon NIS2 sont des organisations de taille moyenne opérant dans un secteur de l'annexe I et des organisations de taille moyenne et grande opérant dans un secteur de l'annexe II. Les organisations moyennes sont celles qui comptent (1) au moins 50 salariés ou (2) un chiffre d'affaires annuel (ou un total de bilan) d'au moins 10 millions d'euros.

Exceptions

Toutefois, il existe des exceptions. D’une part, certaines petites entreprises peuvent être considérées comme importantes même si elles ne remplissent pas certaines conditions de taille. D’autre part, certaines entités peuvent être explicitement exclues de NIS2 par les États membres.

Secteurs à l'annexe 1

Secteurs à l'annexe 2

Energie
Transport
Banque
Marché financier des infrastructures
Soins de santé
Eau potable
Infrastructure numérique
Gestionnaires de services TIC
Eaux usées
Services publics
Espace

Fournisseurs numériques
Services postaux et d’expédition
Gestion des déchets
Denrées alimentaires
Substances chimiques
Recherche
Fabrication

NIS2 peut désigner certaines organisations comme essentielles ou importantes, avec les mêmes exigences en matière de gestion de la cybersécurité et de notification. La principale différence entre les deux est le niveau de contrôle de la conformité. Ainsi, les entités essentielles sont soumises à un régime de surveillance plus intense et à des sanctions plus strictes.

Le « Centre for Cybersecurity Belgium » (CCB) a mis au point un outil permettant de déterminer si votre organisation est soumise à la loi belge NIS2.

Des sanctions peuvent-elles être imposées ?

Les États membres doivent veiller efficacement à ce que les entités relevant du champ d'application NIS2 prennent les mesures nécessaires et signalent les incidents. À cette fin, ils peuvent, par exemple, effectuer des audits externes réguliers, des inspections ou demander certains documents. Les organisations qui ne se conforment pas aux exigences NIS2 peuvent faire l'objet de diverses sanctions, notamment des amendes ou des sanctions administratives d'un montant maximal de 10 millions d'euros pour les entités dites essentielles (2 % du chiffre d'affaires mondial) et de 7 millions d'euros pour les entités importantes (1,4 % du chiffre d'affaires mondial). Les membres du conseil d'administration peuvent être tenus personnellement responsables de la non-conformité (article 32, paragraphe 6).

NIS2 Compliance Journey
Vandelanotte

Quelle aide peut vous fournir Vandelanotte ?

  • Vous ne savez pas si et dans quelle mesure vous devez vous conformer au NIS2 ?

  • Vous souhaitez en savoir plus sur les mesures concrètes qu’il vous reste à appliquer pour être conforme au NIS2 ?

  • Vous avez des doutes sur l'approche à adopter ?

Nos experts vous conseillent et, si vous le souhaitez, vous aident à mettre en œuvre les mesures de sécurité nécessaires pour être conforme au NIS.

Vous souhaitez en savoir plus sur la conformité de votre organisation en matière de cybersécurité ? Contactez Gorik.vandenbergh@vdl.be ou cyber@vdl.be.

Formulaire de contact

Vous souhaitez en savoir plus ou vous avez besoin d'un conseil spécialisé ? N'hésitez pas à contacter nos spécialistes.

Ce formulaire ne peut être envoyé qu’avec l’utilisation de cookies techniques. Vous pouvez accepter ces cookies ici.
Ces cookies sont utilisés pour distinguer les gens des robots. Certaines données, tells que votre adresse IP ou votre préférence linguistique, peuvent être envoyées à Google. Pour plus d’informations sur notre politique en matière de cookies, cliquez ici.

Partager cet article

Gorik Van den Bergh

Certified Information Systems Auditor Gorik.VandenBergh@vdl.be

Frederik Vervoort

Managing consultant frederik.vervoort@vdl.be

Clause de non-responsabilité
Nos avis s'appuient sur la législation, les interprétations et la doctrine en vigueur. Cela n'empêche que l'administration peut les remettre en cause ou que les interprétations existantes peuvent changer.


Informations et perspectives

Lisez nos derniers articles et communiqués de presse pour vous tenir informé(e) des changements dans votre secteur.