Préparez votre organisation à la norme NIS2

En 2016, l'Union Européenne a adopté la directive NIS1. Avec cette directive, elle souhaitait renforcer la réglementation en matière de cybersécurité en exigeant des États membres qu'ils élaborent des stratégies nationales de cybersécurité. En outre, les entreprises de certains secteurs, appelées "entreprises essentielles", doivent prendre des mesures de sécurité minimales et signaler les incidents graves. Cette directive a été transposée dans la loi belge NIS le 7 avril 2019.

Cependant, ces dernières années, nous avons assisté à une augmentation significative des cyberattaques et nous sommes devenus plus dépendants du monde numérique. Des facteurs externes tels que le COVID-19 et les (cyber)guerres n'ont fait que renforcer cette tendance. En bref : alors que la cybersécurité n'était pas toujours une priorité, elle est aujourd'hui un impératif pour toutes les entreprises. C'est pourquoi le Parlement européen a décidé de réviser la loi NIS1 et de l'étendre au NIS2.

La directive européenne NIS2 est en vigueur pour tous les États membres de l'Union européenne depuis le 16 janvier 2023. Tous les États membres, y compris la Belgique, doivent transposer cette directive dans une "loi" pour le 17 octobre 2024.

Votre organisation relève de la loi NIS2 si vous opérez dans l'un des secteurs susmentionnés et si vous êtes considéré comme une entité "essentielle" ou "importante". En Belgique, il n'est pas encore tout à fait clair quels types d'entreprises sont considérés comme "essentiels" ou "importants". Néanmoins, presque toutes les entreprises devront prendre des mesures, car les organisations qui font partie de la chaîne d'approvisionnement de ces entreprises devront également répondre à des exigences de sécurité spécifiques.

Les exigences en matière de gestion de la cybersécurité et de notification sont les mêmes pour les entités essentielles et importantes, seuls le contrôle de la conformité et les sanctions diffèrent.

• Les entités essentielles font l'objet d'une surveillance proactive. Si vous êtes une entité essentielle, les régulateurs vérifieront si vos organisations appliquent et respectent correctement les règles.
• Pour les entités clés, il existe provisoirement un contrôle plutôt réactif, par exemple s'il y a des indications que l'organisation ne respecte pas les règles ou si un cyberincident s'est produit.

Si, après vérification, il apparaît que les règles n'ont pas été correctement appliquées ou respectées, le Centre pour la cybersécurité en Belgique (CCB) (lien) peut imposer des sanctions.

• Pour les entités clés, le CCB peut imposer des amendes administratives d'un montant maximal de 10 millions d'euros ou d'au moins 2 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
• Pour les entités importantes, l'amende peut atteindre un maximum de 7 millions d'euros ou au moins 1,4 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.

Les mesures exactes que vous devez prendre en tant qu'organisation dépendent de la manière dont le pays met en œuvre la loi. Par exemple, la Belgique peut introduire des spécifications plus strictes que le minimum européen. Ce qui est déjà établi, c'est que les organisations devront mettre en œuvre une liste de mesures de sécurité de base minimales. Cette liste comprend

• Analyse des risques et politique de sécurité de l'information (partie de la norme ISO 27001)
• Gestion des incidents et des crises (partie de la norme ISO 27001)
• Plans de continuité des activités, tels que la gestion des sauvegardes (backup)
• Garantir et assurer la continuité de votre chaîne d'approvisionnement (chaîne d'approvisionnement)
• Sensibilisation de votre personnel aux dangers potentiels de l'environnement numérique (par exemple via un programme de sensibilisation à la sécurité-security awareness)
• Utiliser des systèmes d'authentification appropriés tels que l'authentification multifactorielle (Multifactor Authentication)
• L'utilisation de la cryptographie/du chiffrement
• Des politiques et des procédures pour évaluer l'efficacité de ces mesures.
• La direction est également soumise à des obligations. Elle doit approuver toutes les mesures et, en d'autres termes, en assumer la responsabilité. En outre, ils doivent suivre une formation de base à la cybersécurité.