Toute entreprise européenne dont les activités sont considérées comme essentielles ou qui collabore avec une entreprise qui effectue de telles activités devra bientôt respecter la nouvelle directive Network and Information systems Security ou NIS2 en abrégé. Cela signifie également que bon nombre de PME belges devront satisfaire à cette réglementation. Les amendes promettent d’être salées pour celles qui ne sont pas en règle !
L’importance de la cybersécurité
Selon le FBI, les cyberattaques ont causé presque 7 milliards de dollars de dommages en 2021 sur la planète. Et puisque ces chiffres ne se basent que sur les cas signalés, la réalité est probablement encore bien pire. Avec l’introduction de la nouvelle directive européenne sur la cybersécurité, l’Union européenne souhaite obliger les entreprises à se conformer aux normes relatives à la cybersécurité. L’objectif est d’empêcher les cyberattaques de perturber partiellement ou entièrement la société.
NIS-2 : de quoi s’agit-il exactement ?
Par analogie avec la directive relative à la protection des données (RGPD), la directive NIS2 vise principalement à sensibiliser sur la nécessité de sécuriser correctement le réseau et les systèmes informatiques de votre entreprise. La nouvelle directive a été proposée par la Commission européenne fin 2020, puis les trois instances européennes (Commission, Conseil et Parlement) ont trouvé un accord politique à ce sujet en 2022. La nouvelle réglementation entrera donc bien en vigueur, et probablement en 2024.
La NIS2 succède à la directive actuelle, la NIS, dont vous n’avez probablement jamais entendu parler, ce qui n’est pas étonnant, puisqu’elle se limite aux grandes entreprises actives dans des secteurs vitaux, comme les entreprises d’électricité, l’approvisionnement en eau potable et les entreprises de télécommunication. La NIS2 va beaucoup plus loin et s’appliquera également à de nombreuses PME, car la taille de l’entreprise n’est plus un facteur déterminant. Cette directive pourra donc toucher beaucoup d’autres secteurs. Par conséquent, toute PME belge devra vérifier en urgence si la directive NIS2 s’applique à sa situation et si des mesures de mise en conformité sont nécessaires.
Toute entreprise qui ne respecte pas la directive sera non seulement plus exposée aux cyberattaques, mais risquera également de se voir imposer de fortes amendes. La directive NIS2 s’appliquera sur la base d’une politique proactive et les contrôles seront effectués par échantillonnage aléatoire. Les contrôles seront donc beaucoup plus stricts que ceux liés au RGPD, qui ne sont effectués qu’en cas de soupçon sérieux de fuite de données.
Votre entreprise devra-t-elle bientôt respecter la NIS2 ?
Pour déterminer si votre entreprise tombera sous la nouvelle réglementation, vous devez tirer trois choses au clair :
1. Les activités de votre entreprise sont-elles essentielles ?
Dans le cadre de la NIS2, huit secteurs clés sont repris dans les activités essentielles : le secteur du transport, les soins de santé, le secteur bancaire, les marchés financiers, les structures numériques, l’approvisionnement en eau potable, l’évacuation des eaux usées et l’approvisionnement en énergie. La taille de l’entreprise n’a plus vraiment d’importance. Cela signifie que les petits services de livraison, les développeurs de logiciels à échelle locale, les centres de données et les entreprises logistiques devront également se conformer à la législation NIS2.
2. Travaillez-vous avec des fournisseurs ou des partenaires dont les activités sont essentielles ?
En toute logique, la directive NIS2 s’applique à toute la chaîne d’approvisionnement, car en 2021, 97 % des problèmes liés à la cybersécurité dans les entreprises provenaient de fuites dans d’autres entreprises. Par conséquent, même les entreprises qui n’effectuent pas d’activités essentielles, mais qui font affaire avec des organisations concernées, doivent se conformer à la nouvelle législation. Vous fournissez un programme informatique à Proximus ou Bpost ? Vous faites affaire avec un partenaire logistique qui expédie du matériel médical ? Vous vendez du matériel informatique à un petit fournisseur d’électricité ? Dans ce cas, votre entreprise est également concernée !
3. Ces activités essentielles sont-elles exercées dans l’Union européenne ?
Le plus important dans le cadre de la directive NIS2 n’est pas le lieu d’implantation de l’entreprise, mais le lieu où elle exerce ses activités. Toute entreprise qui offre des services qui font partie de la catégorie des activités essentielles dans l’Union européenne doit donc se conformer à la nouvelle directive. Les entreprises qui font affaire avec des parties basées hors de l’Union européenne doivent donc aussi contrôler si ces parties effectuent des activités essentielles dans l’Union européenne.
Vous pensez que votre entreprise tombe sous la nouvelle directive NIS2 ? Contactez Aurelium pour examiner ensemble vos pratiques et vous préparer à temps. Si vous ne pensez pas devoir vous conformer à la NIS2, mais vous souhaitez tout de même vous protéger contre les cyberattaques, n’hésitez pas à nous contacter !
