La directive NIS 2 renforce les obligations en matière de cybersécurité
L'Union européenne souhaite renforcer ses défenses contre les cyberrisques tels que le piratage informatique et les violations de données. Il existait déjà des réglementations européennes obligeant les entreprises et les gouvernements à investir dans des réseaux et des systèmes d'information sécurisés. Avec la nouvelle réglementation NIS 2, qui rentrera en vigueur en octobre 2024, des obligations supplémentaires seront imposées aux entreprises de certains secteurs clés.
La directive NIS 2 (Network and Information Security) ajoute une série d'obligations aux règlements existants. Son champ d'application a également été étendu à un plus grand nombre de secteurs et d'entreprises.
La nouvelle réglementation a été récemment transposée en droit belge et rentrera en vigueur à partir du 18 octobre 2024. En Belgique, quelque 2 400 entreprises ou organisations entrent dans le champ d'application de cette réglementation renforcée.
À qui s'applique la directive NIS 2 ?
Le nombre d'entreprises et d'organisations soumises à la directive NIS 2 a considérablement augmenté depuis la première directive NIS en 2016. Il s'agit des entreprises opérant dans les secteurs énumérés aux annexes I et II de la directive.
| Bijlage I (zeer kritieke sectoren) | Bijlage II (andere kritieke sectoren) |
| Energie | Post- en koeriersdiensten |
| Vervoer | Afvalstoffenbeheer |
| Bankwezen | Vervaardiging, productie en distributie van chemische stoffen |
| Infrastructuur voor de financiële markt | Productie, verwerking en distributie van levensmiddelen |
| Gezondheidszorg | Vervaardiging |
| Drinkwater | Digitale aanbieders |
| Afvalwater | Onderzoek |
| Digitale infrastructuur | |
| Beheer van ICT-diensten (business-to-business) | |
| Overheid | |
| Ruimtevaart |
En outre, une entreprise doit être une entité essentielle ou une entité importante selon certains critères.
Entité essentielle
- L'entreprise doit opérer dans un secteur figurant à l'annexe I de la directive NIS 2, et
- être une « grande » organisation. Cela signifie qu’elle doit compter 250 travailleurs ou plus, et/ou avoir un chiffre d'affaires annuel supérieur à 50 millions d'euros /ou un total de bilan supérieur à 43 millions d'euros.
Entité importante
- L'entreprise doit opérer dans un secteur figurant à l'annexe I de la directive NIS 2, et
- être une organisation « de taille moyenne ». Cela signifie qu’elle doit compter 50 à 249 travailleurs et/ou avoir un chiffre d'affaires annuel de 10 à 50 millions d'euros /ou un total de bilan de 10 à 43 millions d'euros.
ou
- L'entreprise doit opérer dans un secteur figurant à l'annexe II de la directive NIS 2, et
- être une grande ou moyenne organisation sur la base des critères ci-dessus.
Une supervision plus stricte
La principale différence entre les entités essentielles et les entités importantes est que les entités essentielles sont soumises à un régime de supervision plus intensif. La supervision du respect des obligations peut se faire ex ante ou ex post.
Un régime allégé s'applique aux entités importantes. Il s'agit d'une supervision ex post, ou lorsqu'il y a des indications que l'entreprise n'est pas en conformité avec NIS 2 ou en cas d'incidents.
Exceptions
Les critères de taille ne s'appliquent pas à un certain nombre d'organisations. Il s'agit notamment des fournisseurs de réseaux de communication électronique publics, des prestataires de services DNS, des fournisseurs toujours considérés comme critiques ou présentant des risques systémiques et des pouvoirs publics centraux.
Quelles mesures de cybersécurité une entreprise doit-elle adopter ?
La directive NIS 2 définit les mesures qu'une entreprise doit prendre pour gérer les risques liés à la cybersécurité. Il s'agit notamment :
- des politiques relatives à l’analyse des risques et à la sécurité des systèmes d’information ;
- de la gestion des incidents ;
- de la continuité des activités ;
- de la sécurité de la chaîne d'approvisionnement ;
- de la sécurité de l'acquisition, du développement et de la maintenance des réseaux et des systèmes d'information ;
- des politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
- des politiques et des procédures relatives à l’utilisation de la cryptographie et du chiffrement ;
- de la sécurité des ressources humaines, des politiques de contrôle d’accès et de la gestion des actifs ;
- de l’authentification à plusieurs facteurs (le cas échéant) ;
- de la politique de divulgation des vulnérabilités.
Tout cela se rapproche fortement des politiques de sécurité de l'information imposées par le RGPD et l'ISO 27001. La grande différence, cependant, réside dans le fait que les entreprises sont soumises à une évaluation régulière de la conformité pour vérifier si elles répondent aux exigences de ces réglementations.
Vastes obligations d'information
La directive NIS 2 surveille également l'échange et la réception d'informations avec et par l'autorité compétente. Par exemple, NIS 2 comporte de vastes obligations en matière de notification. Les entreprises doivent signaler les incidents aux autorités compétentes dans les 24 heures. Cette notification est considérée comme une alerte précoce, car il existe des obligations supplémentaires en matière d’information. Par exemple, une notification d'incident réel doit être effectuée dans les 72 heures et un rapport doit suivre dans un délai d'un mois, décrivant l'incident, sa cause, l'action entreprise et ses conséquences.
Plus d'engagement de la part de la direction
NIS 2 a également des implications pour la gouvernance d'entreprise. L'objectif est que la direction des entreprises s'implique davantage dans la cybersécurité et en soit tenue responsable. La formation des membres de la direction met l'accent sur les connaissances en matière de cybersécurité. L'organe de direction est solidairement responsable des éventuelles violations de ce règlement par les entreprises concernées. L'explication de la loi montre qu'il s'agit des membres du conseil d'administration, de la direction opérationnelle et des actionnaires.
Des sanctions sévères
La directive NIS 2 est parfois décrit comme « le RGPD de la cybersécurité ». Cela s'explique en partie par les amendes élevées qui peuvent être imposées en cas d'infraction.
- Pour les entités essentielles, ce montant peut atteindre 10 millions d'euros ou 2 % du chiffre d'affaires annuel.
- Pour les entités importantes, ce montant peut atteindre 7 millions d'euros ou 1,4 % du chiffre d'affaires annuel.
Comment Moore peut vous aider ?
Vous pouvez compter sur nous pour vous conseiller et vous guider dans les différentes étapes du processus de mise en conformité avec la directive NIS :
- Préciser si votre entreprise ou organisation relève du champ d'application de NIS 2.
- Effectuer une analyse des lacunes et des risques avec votre équipe interne afin d'identifier les mesures à prendre pour se conformer aux exigences de NIS 2.
- Évaluer s'il existe une politique élaborée et, le cas échéant, la décliner en procédures/politiques et la documenter suffisamment. Cela peut se faire dans le cadre d'un processus ISO 27001, mais cela ne doit pas se limiter à cela.
- Mettre en place un plan structuré de continuité des activités
- Examiner les contrats avec des parties externes telles que les partenaires TIC ou les fournisseurs de services cloud.
- Rationaliser les responsabilités et les obligations au sein de l'organe de direction. Si nécessaire, prévoir des délégations formelles pour certaines tâches.
- Prévoir des sessions de formation et de sensibilisation du personnel et des administrateurs.
N'hésitez pas à nous contacter. Nous sommes là pour vous aider.
