La directive NIS2 : Quoi ? Pour qui ? Pour quoi ?

Alors que les cybermenaces augmentent de manière significative en Belgique mais également en Europe et que les entreprises restent vulnérables face à ces attaques, le Parlement Européen a voté pour la directive « NIS2 », aussi connue sous le nom de directive sur la sécurité des réseaux et des systèmes d’information.

Cette directive européenne, adoptée en janvier 2023, vise à renforcer la cybersécurité des entreprises afin d’établir un niveau de sécurité uniforme dans toute l’Union Européenne. Elle impose ainsi aux entités concernées la nécessité d’améliorer leurs mesures de sécurité pour garantir leur résilience face aux cyberattaques.

Quelles sont les entreprises concernées ? Quelles sont les principales exigences de cette directive ? Comment être en conformité avec cette nouvelle législation ? On vous explique tout à travers cet article !

NIS2 : qui est concerné ?

La directive NIS2 concerne de nombreuses organisations dans des secteurs tels que les énergies, le transport, la santé, les banques, les services numériques ou encore les administrations publiques.

Cette directive établit deux catégories d’entités : les entités « essentielles » et les entités « importantes ». La distinction entre ces deux catégories repose sur des critères tels que la taille, le secteur et l’impact potentiel d’une perturbation.

Les exigences de NIS2

La directive NIS2 introduit un ensemble d’obligations et d’exigences en matière de cybersécurité que les entreprises doivent respecter :

1. Évaluation et gestion des risques

Les entités concernées par NIS2 doivent mettre en place des mesures (techniques, opérationnelles et organisationnelles) appropriées et proportionnées pour prévenir, détecter et répondre aux incidents de cybersécurité. Cela inclut :

La gestion des risques liés à la cybersécurité.
La protection des systèmes d’information contre les attaques, notamment à travers des outils de surveillance et de détection.
La mise à jour régulière des systèmes de sécurité.

2. La gestion des incidents

La directive NIS2 impose aux entités concernées de notifier au Centre pour la Cybersécurité Belgique (CCB) tout incident significatif. Il est dès lors important de comprendre les termes « incident » et « significatif ».

Un « incident » représente tout événement compromettant la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou des services que les réseaux et systèmes d’information offrent ou rendent accessibles.

Un « incident significatif » est un incident causant ou pouvant causer une perturbation opérationnelle grave, une perte financière ou des dommages matériels ou immatériels affectant d’autres personnes physiques ou morales.

Si l’incident est significatif, l’entité essentielle ou importante doit alors notifier les entités compétentes dans un délai de 24h suivant la détection de l’incident puis fournir une évaluation initiale de l’incident dans un délai de 72h, décrivant sa gravité et son impact. Un mois après, elle doit fournir un rapport final avec une description détaillée de l’incident, le type de menace qui l’a déclenché et les mesures d’atténuation appliquées.

3. La continuité des activités

En cas d’incident, les entités doivent élaborer et tenir à jour des plans de continuité des activités et de reprise afin de garantir la continuité des activités.

4. Sécurité de la chaîne d'approvisionnement

Les entités concernées par la directive NIS2 doivent également évaluer les risques liés à leurs fournisseurs et prestataires de services de la chaîne d’approvisionnement. Elles doivent ainsi imposer des mesures de gestion des risques et s’assurer du respect de ces mesures.

5. Le traitement et la divulgation des vulnérabilités

NIS2 impose aux entités de mettre en place des processus de traitement et de divulgation des vulnérabilités, en ce compris des évaluations régulières des vulnérabilités et la mise en place de correctifs pour ces vulnérabilités.

6. Obligation de former et sensibiliser ses équipes

Pour respecter la directive NIS2, les entités ont l’obligation de former et sensibiliser leurs employés à la cybersécurité afin de s’assurer qu’ils sont en mesure d’identifier les cybermenaces et d’y répondre.

7. Gouvernence et responsabilité

La NIS2 met également davantage l’accent sur le rôle de la direction dans la supervision de la cybersécurité. Celle-ci doit approuver les mesures de gestion des risques et superviser la mise en œuvre de ces mesures.

8. Conformité et application

En cas de non-respect des obligations imposées par NIS2, les entités risquent des sanctions financières importantes, notamment des amendes pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires global annuel pour les entités « essentielles » et jusqu’à 7 millions d’euros ou 1,4% du chiffre d’affaires global annuel pour les entités « importantes ».

Au-delà des amendes, les autorités nationales ont également le pouvoir d’imposer d’autres sanctions plus sévères, comme suspendre temporairement des dirigeants dans l’exercice de leurs fonctions.

Pour se mettre en conformité avec NIS2 :

Les entités « essentielles » doivent se soumettre obligatoirement à une évaluation périodique de la conformité.
Les entités « importantes » peuvent, sur base volontaire, se soumettre à l’évaluation période de la conformité.

Deux grands cadres sont reconnus pour atteindre cette conformité : le CyberFundamentals (CyFun®), un ensemble de bonnes pratiques défini par le CCB, et la norme ISO 27001, une certification internationale attestant de la mise en place d’un système de gestion des risques liés à la sécurité des données et de l’information.

Comment se préparer à la conformité NIS2 ?

Pour vous aider à vous préparer à la mise en conformité NIS2, nous avons dresser une liste des étapes essentielles :

Identification : Analysez si votre entreprise entre dans le champ d’application de NIS2 en fonction de votre secteur, de votre taille et de votre impact potentiel.
Enregistrement : Déclarez votre entité auprès du Centre pour la Cybersécurité Belgique (CCB) afin de figurer officiellement comme entité soumise à NIS2.
Notification : Mettez en place un processus robuste pour signaler tout incident significatif au CCB dans les délais exigés.
Conformité : Évaluez votre niveau de maturité en cybersécurité selon le cadre CyberFundamentals ou préparez-vous à une certification ISO 27001 selon votre situation.
Formation : Déployez un programme de formation et de sensibilisation pour vos équipes, afin que chacun comprenne son rôle et les bonnes pratiques à adopter en cybersécurité.
Révision : Faites auditer régulièrement votre sécurité informatique et vos processus organisationnels pour identifier les failles et les corriger avant qu’elles ne deviennent critiques.

Prêt à passer à l'action ?

Face à l’ampleur des obligations imposées par la directive NIS2, il est essentiel pour les entreprises de se faire accompagner afin d’assurer leur conformité, non seulement sur un plan technique mais également au niveau organisationnel et administratif.

Chez Altiore, nous aidons les organisations à renforcer leur cybersécurité grâce à des solutions de monitoring avancées, mais aussi à structurer tout le volet gouvernance : formalisation des processus, gestion des documents et accompagnement dans les démarches administratives. Nous vous accompagnons ainsi également pour réduire vos risques, améliorer votre résilience face aux cyberattaques.

Altiore est labellisé chèques-entreprises en cybersécurité ! Vous pouvez ainsi bénéficier d’aide de la région wallonne à hauteur de 75% d’intervention avec un maximum de 50.000€ sur 3 ans.

Contactez dès aujourd’hui l’équipe Altiore pour bénéficier d’un accompagnement sur mesure, alliant expertise technique et support en gouvernance. Ensemble, mettons votre entreprise en conformité avec la directive NIS2 et protégeons durablement vos activités face aux cybermenaces.