NIS2 : exigences de cybersécurité renforcées PME

Publié le 17/10/2024 dans Start Like A Pro

Qu'est-ce que la loi NIS2? Le 18 octobre 2024, la nouvelle règlementation sur la cybersécurité entrera en vigueur en Belgique.

Cette législation impose de nouvelles règles pour la cybersécurité, la gestion des risques et la réponse aux incidents. Les PME devront peut-être aussi s’y conformer. Nos experts chez Proximus vous aident à comprendre les changements apportés par la loi NIS2.

NIS2 : exigences de cybersécurité renforcées PME

Pourquoi une nouvelle législation NIS2 en cybersécurité?

Les PME et TPE sont de plus en plus exposées aux cyberattaques. En 2023, une entreprise belge sur trois a été touchée par un incident de cybersécurité (source : Proximus NXT Cybersecurity Survey Report 2024) . Cela peut entraîner de grandes pertes de données et perturber les activités.

La directive européenne NIS2 exige que les entreprises mettent en place de meilleures protections pour éviter ces risques. Cette nouvelle législation vise à renforcer la cybersécurité des entreprises en Europe.

Directive NIS2 : qui est concerné?

Concrètement, vous devez vous mettre en conformité en tant qu’« entité importante » si vous répondez aux deux critères suivants :

  • Vous employez 50 personnes ou plus, ou, vous réalisez un chiffre d’affaires annuel de 10 millions d’euros ou plus
  • Vous opérez dans l’un des 18 secteurs d’activité critiques (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, fourniture / distribution d’eau potable, gestion des eaux usées, infrastructures numériques, gestion de services TIC, administration publique, secteur spatial, services postaux et d’expédition, gestion des déchets, fabrication / production / distribution de produits chimiques, alimentation et fabrication)

Des obligations et sanctions plus strictes sont d’application pour les organisations identifiées comme « entité essentielles » ; il s’agit des structures répondant aux deux suivants :

  • Vous employez 250 personnes ou plus, ou, vous réalisez un chiffre d’affaires annuel de 50 millions d’euros ou plus ou un total du bilan annuel dépassant 43 millions d’euros ou plus
  • Et vous opérez dans l’un des 11 secteurs d’activité très critiques (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, fourniture / distribution d’eau potable, gestion des eaux usées, infrastructures numériques, gestion de services TIC, administration publique et secteur spatial)

La règlementation impose aux entités relevant de cette directive de garantir la qualité de la cybersécurité de leurs fournisseurs et prestataires directs. Par conséquent, même les entreprises qui ne sont pas directement concernées par la NIS2 seront indirectement également affectées par ces obligations légales.

Comment être en conformité avec la directive NIS2 ?

  1. Inscrivez votre entité NIS2 dès que possible sur Safeonweb@Work. Les entités des secteurs numériques doivent le faire avant le 18 décembre 2024, tandis que toutes les autres entités NIS2 ont jusqu’au 18 mars 2025 pour s’enregistrer.
  2. Réalisez une analyse des risques, identifiez vos vulnérabilités et prenez les mesures appropriées pour sécuriser votre infrastructure informatique. Gérez les incidents, améliorez l’hygiène informatique, mettez en œuvre des systèmes de sauvegarde, assurez la continuité des activités et divulguez les vulnérabilités. Nos experts en cybersécurité chez Proximus peuvent vous aider avec cela.
  3. Signalez tout incident significatif au CCB (Centre for Cybersecurity Belgium). Ce signalement doit suivre plusieurs étapes :
    1. une alerte dans les 24 heures suivant la prise de connaissance de l’incident.
    2. un rapport d’incident dans les 72 heures.
    3. un rapport intermédiaire à la demande du CCB ou de l’autorité concernée.
    4. et un rapport final au plus tard un mois après la notification de l’incident. Si l’incident est toujours en cours, un rapport d’avancement est requis, suivi d’un rapport final dans le mois suivant la résolution de l’incident.

Y a-t-il des obligations supplémentaires pour les entités essentielles?

Les entités qualifiées d' «essentielles» doivent se conformer à des obligations supplémentaires, incluant des contrôles rigoureux planifiés ou inopinés. Elles sont sous une surveillance proactive. Si elles ne respectent pas les règles, elles risquent de lourdes sanctions.

Quelles sont les sanctions en cas de non-conformité NIS2 ?

Les entités essentielles risquent une amende pouvant aller jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires mondial. Pour les entités importantes, l'amende peut atteindre 7 millions d'euros ou 1,4 % de leur chiffre d'affaires mondial. En plus, les dirigeants peuvent aussi être tenus responsables.

Retrouvez un guide de démarrage rapide en 7 étapes proposé par le gouvernement sur atwork.safeonweb.be

Comment Proximus peut vous aider avec NIS2?

Voyez cette nouvelle loi NIS2 comme une chance de mieux protéger votre entreprise. Les équipes de Proximus sont prêtes à vous accompagner pour renforcer votre cybersécurité et assurer votre conformité.

Parler avec un expert