Retour à l'aperçu
2 janvier 2025

Qu’implique l’introduction de la directive NIS2 pour votre entreprise ?

La directive NIS2 est entrée en vigueur à l’automne 2024. Elle vise à optimiser les mesures de cybersécurité et de gestion des incidents dans les États membres de l’UE. À quelles entreprises la directive s’applique-t-elle ? Qui en contrôle l’application, quelles sont les sanctions et quel est l’impact en termes d’assurance ? Comment pouvons-nous soutenir votre organisation dans le trajet NIS2 ? Notre cyberexpert Tom Van Britsom vous l’explique.

I Stock 874075212

Qu’est-ce que la directive NIS2 ?

La directive « Sécurité des réseaux et de l’information » (dite directive NIS2) est entrée en vigueur le 18 octobre 2024. Elle succède à la directive NIS adoptée par l’Union européenne en 2016. L’objectif de ces directives est de renforcer le niveau commun de cybersécurité des États membres de l’UE en augmentant les exigences de mise en œuvre de la cybersécurité pour les secteurs d’infrastructures critiques. La directive NIS2 a donc été adoptée en vue de poursuivre et d’étendre la précédente directive NIS sur la cybersécurité, depuis lors abrogée.

La directive NIS2 est à la cybersécurité ce que le RGPD est à la protection des données.

À quelles entreprises la directive s’applique-t-elle ?

Grâce à elle, notre pays renforcera les mesures de cybersécurité, de gestion des incidents et de supervision des entités fournissant des services essentiels au maintien d’activités sociétales ou économiques critiques. Tom Van Britsom : « Il s’agit de secteurs essentiels, tels que l’énergie, les transports, le secteur bancaire, la santé, l’eau, l’infrastructure numérique et les infrastructures des marchés financiers. Concrètement, une entreprise de transport est considérée comme essentielle, car elle est responsable de notre approvisionnement alimentaire, notamment parce qu’elle transporte des pommes de terre jusqu’au supermarché. »

Distinction entre « secteurs hautement critiques » et « autres secteurs critiques »

Les mesures qui s’appliquent aux entreprises dépendent non seulement du secteur dans lequel elles sont actives, mais également de leur taille. Il revient aux entrepreneurs d’évaluer correctement ces critères. Une entreprise relève généralement du champ d’application de la directive si elle est active dans l’un des (sous-)secteurs et types de services énumérés dans la liste des « secteurs hautement critiques » ou celle des « autres secteurs critiques » (voir illustration ci-dessous).

CCB Infographic1 NIS2 F crop
*Source: le Centre pour la Cybersécurité Belgique (CCB)

En principe, il s’agit de grandes et moyennes entreprises, c’est-à-dire qui emploient plus de 50 personnes et réalisent un chiffre d’affaires annuel d’au moins 10 millions d’euros (voir illustration ci-dessous). Les petites et micro-entreprises sont exclues du champ d’application, sauf indication contraire explicite.

CCB Infographic3 NIS2 F crop
*Source: le Centre pour la Cybersécurité Belgique (CCB)

Que se passe-t-il si votre entreprise entre dans le champ d’application ?

Dans ce cas, vous êtes contraint de prendre des mesures de sécurité appropriées et proportionnées. Cette obligation comporte deux volets :

  • Vous êtes notamment tenu de prévoir des mesures relatives à la gestion et à l’analyse de risques, des formations sur la cybersécurité, des obligations en matière de sécurité du personnel, etc.
  • Vous avez, en outre, l’obligation de notifier les incidents graves et significatifs.
    • En cas d’incident grave, vous devez envoyer une alerte dans les 24 heures suivant la prise de connaissance de l’incident.
    • Une notification officielle doit également être envoyée dans les 72 heures suivant la prise de connaissance de l’incident.
    • Enfin, vous devez transmettre un rapport final aux autorités de contrôle dans un délai d’un mois à compter de la clôture de l’incident.

💡 Toutes les entreprises qui entrent dans le champ d’application de la loi sont tenues de s’enregistrer auprès du Centre pour la Cybersécurité Belgique (CCB) et de fournir des informations précises quant à leurs activités.

Cyber resized
Les entreprises sont notamment tenues de prévoir des mesures relatives à la gestion et à l’analyse de risques, des formations sur la cybersécurité et des obligations en matière de sécurité du personnel.
Tom Van Britsom • Expert Cybersecurity

Quelle instance est chargée de contrôler la bonne application de la directive NIS2 ?

Le service d’inspection de l’autorité nationale de cybersécurité, le Centre pour la Cybersécurité Belgique (CCB), est chargé d’effectuer des inspections :

  • Pour les entités essentielles, une évaluation obligatoire de la conformité par le CCB est prévue.
  • Les entités importantes peuvent se soumettre à une évaluation de la conformité sur une base volontaire. Elles ne sont contraintes de se soumettre à un contrôle qu’à la suite d’un incident, mais il leur est tout de même conseillé de se préparer correctement.

Quelles sont les sanctions prévues en cas de non-respect de la directive NIS2 ?

Les sanctions sont très diverses, notamment des avertissements, des recommandations, une surveillance, des instructions contraignantes, des audits ciblés et ad hoc, des obligations de divulgation ou encore des amendes administratives.

Penchons-nous sur les sanctions les plus lourdes :

  • Des sanctions administratives et des amendes peuvent être infligées. Les amendes varient selon le statut de l’entreprise : essentielle ou importante. Les amendes administratives peuvent atteindre 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
  • Les administrateurs peuvent être tenus personnellement responsables. Ainsi, une interdiction d’exécuter leurs tâches peut leur être infligée. Ils peuvent également être contraints d’encore améliorer la cybersécurité en faisant suivre une formation sur la cybersécurité à l’équipe managériale ou aux collaborateurs.

Quel est l’impact de la directive NIS2 sur les assurances ?

Deux assurances peuvent être concernées dans le cadre des mesures de précaution que doivent prendre les entreprises ciblées par la directive NIS2 :

  • L’assurance responsabilité d’administrateur : à l’heure actuelle, nous ne constatons pas (encore) d’impact, car aucun assureur n’exclut les conséquences de la directive NIS2.
  • La cyberassurance : les amendes infligées par rapport à la politique de sécurité dans le cadre de l’application de la directive NIS2 sont de nature administrative, à l’instar des amendes dans le cadre du RGPD. Ces deux types d’amendes peuvent être couvertes par votre cyberassurance.
Vous pouvez aborder la directive NIS2 comme un règlement et ne prendre en compte que les possibles sanctions. Je vous conseillerais toutefois de la considérer comme une directive claire pour procéder à des investissements ciblés, afin d’éviter autant que possible les incidents et de vous préparer correctement si ceux-ci devaient tout de même survenir.

Comment pouvons-nous soutenir votre entreprise dans le trajet NIS2 ?

Nous proposons un vaste éventail de services, composé de quatre volets pour une protection optimale :

  • Cyberassurance : nous vous proposons une couverture large et actuelle sur mesure avec une assistance professionnelle en cas d’incident.
  • Formation sur le phishing : nous organisons des formations pour vous aider à créer un « pare-feu humain » au sein de votre entreprise.
  • Cyber Security Workshop : dans le cadre d’un atelier interactif, nous vous accompagnons de A à Z dans la simulation d’un cyberincident réaliste, afin de vérifier comment votre entreprise réagirait en situation réelle. Recommandé par et pour les CFO !
  • Business Continuity Plan et Cyber Incident Response Plan : nous vous fournissons une procédure prête à l’emploi, que vous pouvez suivre en cas de cyberincident.

Mes­sages liés

Pexels fauxels 3182784

Nou­veaux délais et sanc­tions pour les assu­reurs dans le cadre du règle­ment des sinistres

Actualités sectorielles
14.12.2024

Une nouvelle loi, entrée en vigueur le 1er octobre 2024, impose des règles aux assureurs en matière d’indemnisation. La loi du 17 mars 2024 concernant les délais et sanctions relatifs au paiement des prestations d’assurance impose des délais spécifiques pour le paiement des prestations d’assurance. L’objectif de cette nouvelle loi est clair : accélérer le règlement des sinistres par les assureurs.

En savoir plus
En savoir plus sur Nouveaux délais et sanctions pour les assureurs dans le cadre du règlement des sinistres
Christin hume Hcfwew744z4 unsplash

Nou­velles règles de rési­lia­tion des contrats d’assurance à par­tir du 1er octobre 2024

Actualités sectorielles
30.08.2024

La loi du 9 octobre 2023 simplifiant les règles de résiliation des contrats d’assurance entrera en vigueur le 1er octobre 2024. Elle modifie les modalités relatives à la résiliation prévues aux articles 84 et 85 de la loi relative aux assurances et s’applique aux contrats conclus ou reconduits tacitement à partir de cette date.

En savoir plus
En savoir plus sur Nouvelles règles de résiliation des contrats d’assurance à partir du 1er octobre 2024
CTA Image

Vous sou­hai­tez plus d’informations ou des conseils per­son­na­li­sés pour votre entreprise ?

Contactez-nous via le formulaire de contact.

Contact
Chercher