Avec la loi NIS2 du 26 avril 2024, le législateur belge a transposé la directive européenne NIS2 en droit national. La loi NIS2 est une mise à jour de la loi NIS1 du 7 avril 2019, qui a élargi son champ d'application.

Le règlement NIS vise à renforcer les mesures de cybersécurité, la gestion des incidents et la surveillance des organisations qui fournissent des services cruciaux pour le maintien des fonctions sociales et économiques essentielles. En outre, la loi vise à améliorer la coordination de la politique gouvernementale en matière de cybersécurité.

La loi NIS2 entre en vigueur le 18 octobre 2024.

Champ d’application

La loi NIS2 s'applique aux « entités » (c'est-à-dire sans s'y limiter, aux seules entités juridiques) qui:

• fournissent un service dans l'Union européenne tel qu'énuméré aux annexes I et II de la loi NIS2; et

• qui dépassent les seuils pour les entreprises de taille moyenne, c'est-à-dire:

- occupent au moins 50 ETP; et

- ont un chiffre d'affaires annuel ou un total de bilan supérieur à 10 millions d'euros; et

• sont établies en Belgique.

Le ‘Centre for Cybersecurity Belgium’ (‘CCB’) (centre de cybersécurité belge) a développé un outil pratique pour déterminer si votre organisation entre dans le champ d'application de la loi NIS2. Vous pouvez télécharger cet outil de test de portée ici: https://atwork.safeonweb.be/fr/tools-resources/guide-de-demarrage-rapide-avec-nis2 .

Attention: même si votre organisation n'entre pas dans le champ d'application de la loi NIS2, vous pouvez toujours être confronté aux obligations prévues par la loi NIS2 si votre organisation est située dans une chaîne d'approvisionnement d'une entité NIS2. En effet, les entités NIS2 sont tenues d'assurer la sécurité de leur chaîne d'approvisionnement, y compris les aspects de sécurité liés à la relation entre l'entité et ses fournisseurs directs ou prestataires de services. Dans ce cas, le CCB recommande de se conformer au moins aux mesures prévues dans les CyberFundamentals (CyFun®) Framework Level Basic (https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework ).

De plus, en vertu de la loi NIS2, une distinction est faite entre les entités essentielles et importantes, le CCB en a publié un aperçu visuel clair sur son site Web:

Aperçu de l’annexe I: Secteurs hautement critiques

https://atwork.safeonweb.be/sites/default/files/2024-08/Infographic%207%20-%20NIS%202%20Scope_F-1.png

Aperçu de l'annexe II : Autres secteurs cruciaux

https://atwork.safeonweb.be/sites/default/files/2024-08/Infographic%207%20-%20NIS%202%20Scope_F-2.png

Obligations de la loi NIS2

Les entités entrant dans le champ d'application de la loi NIS2 doivent respecter un certain nombre d'obligations :

Inscription sur Safeonweb@Work

En principe, toutes les entités NIS2 doivent s'inscrire au plus tard le 18 mars 2025, à l'exception des entités du secteur numérique pour lesquelles la date limite a été fixée au 18 décembre 2024.

L'inscription peut se faire via le formulaire d'inscription en ligne : https://atwork.safeonweb.be/fr/register-my-organisation .

Mesures pour la gestion des risques de cybersécurité

Toutes les entités NIS2 doivent mettre en œuvre des mesures techniques, opérationnelles et organisationnelles appropriées et proportionnées pour gérer les risques liés à la sécurité du réseau et des systèmes d'information qu'elles utilisent dans le cadre de leurs opérations ou de leurs services. Cela devrait être fait pour prévenir les incidents ou pour limiter l'impact des incidents sur leurs clients et autres services.

En outre, ces mesures doivent garantir un niveau de sécurité proportionné au risque, compte tenu de l'état de l'art, du coût de la mise en œuvre, de la probabilité qu'un incident se produise et de ses risques. Lors de l'évaluation de la proportionnalité des mesures, il convient de tenir compte du niveau de risque de l'entité, de la taille de l'organisation ainsi que de la probabilité et de la gravité de tout incident, y compris de ses incidences sociales et économiques.

Les mesures doivent donc être adaptées de manière optimale à la situation spécifique de l'entité concernée. La loi NIS2 prévoit également un certain nombre de mesures minimales à mettre en œuvre.

Le CCB a mis à disposition plusieurs outils pour aider les entités NIS2 à identifier les risques et à prendre les mesures adéquates: https://atwork.safeonweb.be/fr/tools-resources/cyberfundamentals-framework .

Notification des incidents significatifs

Le CCB doit être informé de tout incident important dans les 24 heures suivant la date à laquelle elle a pris connaissance de l'incident. Le CCB mettra bientôt en place un portail de signalement en ligne à cet effet.

Obligations et responsabilités du management

L'organe directeur de l'entité est chargé de prendre les mesures appropriées et de superviser leur mise en œuvre. Afin de s'assurer que l'organe administratif dispose des connaissances et des compétences suffisantes pour se conformer effectivement aux obligations prévues par la loi NIS2, une obligation a été introduite de fournir une formation aux membres de l'organe administratif.

Collaboration avec les autorités

Les entités NIS2 sont tenues de coopérer avec les autorités. Il s'agit principalement de l'échange d'informations avec le CCB et les autorités sectorielles.

Sanctions

La loi NIS2 prévoit la possibilité pour le CCB d'imposer des mesures administratives, ainsi que des amendes administratives:

1. Le non-respect des obligations déclaratives prévues à l'article 12 de la loi NIS2 est passible d'une amende de 500 à 125 000 €;

2. Une entité qui cause un préjudice à une personne agissant pour leur compte et exerçant de bonne foi dans le cadre de leurs fonctions et la loi NIS2 peut être condamnée à une amende comprise entre 500 € et 200 000 €;

3. Le non-respect de l'obligation de surveillance est passible d'une amende de 500 à 200 000 €;

4. Une entité importante qui ne respecte pas les règles en matière de cybersécurité ou de reporting peut se voir infliger une amende comprise entre 500 et 7 000 000 €, soit 1,4 % de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu ;

5. Une entité essentielle qui ne respecte pas les règles de cybersécurité ou de reporting peut se voir infliger une amende comprise entre 500 et 10 000 000 €, soit 2 % de son chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.

Que devez-vous entreprendre?

Nous vous recommandons vivement de consulter le Guide de démarrage rapide du CCB afin de déterminer si vous entrez dans le champ d'application de la loi NIS2. Vous pouvez consulter ce guide ici: https://atwork.safeonweb.be/fr/tools-resources/guide-de-demarrage-rapide-avec-nis2 .