Mon organisation est-elle soumise à la directive NIS2 ?
Mon organisation est-elle soumise à la directive NIS2 ?
NIS2, c’est, après le RGPD et NIS(1) le prochain terme auquel les organisations seront confrontées. Nous voulons porter ici un regard réaliste sur cette nouvelle directive, déterminer dans quelle mesure elle s’applique à nos clients PME et voir comment nous pouvons les aider.
Contexte
Les entreprises de secteurs critiques tels que la chimie, la pharmacie, l’énergie, la finance, ainsi que l’eau potable et les eaux usées relèvent de la directive NIS2 dans la mesure où elles comptent au moins 50 employés ou réalisent un chiffre d’affaires annuel supérieur à dix millions d’euros. L’UE a identifié en tout dix-huit secteurs “critiques” pour l’économie et la sécurité. Ainsi, environ 2 000 entreprises dans notre pays seraient soumises à cette nouvelle réglementation, selon la FEB (Source : Tijd.be).
La directive impose aux entreprises concernées de nombreuses obligations en matière de sensibilisation aux risques cybernétiques, de gestion des risques, de continuité des activités et de reporting. En cas de non-respect, elles risquent non seulement une amende sévère mais les dirigeants de l’entreprise peuvent également être tenus personnellement responsables !
NIS2 : Dois-je me conformer à la directive et à partir de quand ?
Heureusement, il existe un test du champ d’application pratique qui, sur base des réponses à quelques questions sur votre organisation, vous indique rapidement si vous devez ou non vous y conformer. Ce test efficace vous évitera de devoir vous plonger dans toute une série de règles et d’exceptions. Nous vous recommandons donc vivement de l’utiliser.
Un élément important à prendre en compte est que, en tant que fournisseur d’une entité NIS2, vous pourriez être contractuellement contraint d’implémenter des mesures de cybersécurité, car les entités NIS2 doivent également gérer la sécurité informatique de leur chaîne d’approvisionnement. Le Centre pour la Cybersécurité Belgique recommande en effet d’implémenter au moins le niveau « Basic » du référentiel CyberFundamentals, mais un niveau plus élevé pourrait vous être imposé contractuellement.
Même si vous n’êtes pas encore totalement soumis à la version la plus récente de la directive NIS2, il est judicieux d’être proactif. Vous aurez ainsi une longueur d’avance lorsque votre organisation devra être conforme. Ces mesures de cybersécurité avancées ne s’implémentent pas si facilement.
Si votre entreprise est soumise à la directive, il est crucial de commencer à respecter toutes les obligations dès que possible. La loi entre en vigueur le 18 octobre 2024. Toutes les entités NIS2 doivent s’inscrire sur Safeonweb@Work :
- Les entités des secteurs numériques doivent s’inscrire avant le 18 décembre 2024.
- Toutes les autres entités NIS2 doivent s’inscrire au plus tard le 18 mars 2025.
NIS2 : Quelles mesures dois-je prendre ?
Mesures de cybersécurité
La loi énumère 11 mesures minimales que chaque entité NIS2 doit prendre :
- Politique d’analyse des risques et de sécurisation des systèmes d’information ;
- Traitement des incidents ;
- Continuité des activités, telles que la gestion des sauvegardes, les plans de contingence et la gestion de crise ;
- Sécurisation de la chaîne d’approvisionnement, y compris les aspects de sécurité liés aux relations entre chaque entité avec ses fournisseurs ou prestataires de services directs ;
- Sécurité dans l’acquisition, le développement et la maintenance des réseaux et des systèmes d’information, y compris la réponse aux vulnérabilités et leur divulgation ;
- Politiques et procédures pour évaluer l’efficacité des mesures de gestion des risques en matière de cybersécurité ;
- Pratiques de base en matière de cyberhygiène et formation à la cybersécurité ;
- Politiques et procédures concernant l’utilisation de la cryptographie et, si nécessaire, le chiffrement ;
- Aspects de sécurité liés au personnel, politiques d’accès et gestion des actifs ;
- Le cas échéant, l’utilisation d’une authentification multifactorielle ou de solutions d’authentification continue, de communications vocales, vidéo et textuelles sécurisées, et de systèmes de communication d’urgence sécurisés au sein de l’entité ;
- Politique coordonnée de divulgation des vulnérabilités.
Pour faciliter l’implémentation pratique de ces mesures, le Centre pour la Cybersécurité Belgique recommande d’utiliser le cadre CyberFundamentals (CyFun®). Pour déterminer le niveau conseillé et les exigences associées, Safeonweb propose un outil simple. Vous choisissez votre secteur via les onglets en bas de page, puis vous définissez la taille de l’organisation. Vous verrez alors quel niveau est recommandé (Basic, Important, Essentiel).
Pour chaque niveau, Safeonweb propose un guide des mesures, également téléchargeable gratuitement. Il vous est loisible de les implémenter vous-même ou bien de faire appel à votre partenaire IT.
Les entités essentielles doivent atteindre le niveau de sécurité Basic ou Important avant le 18/04/2026, le niveau final devant être certifié avant le 18/04/2027. Les entités essentielles doivent faire vérifier et évaluer régulièrement leur implémentation par un tiers. Cela peut être attesté par une certification CyFun® délivrée par un organisme d’évaluation de la conformité (CAB), accrédité et autorisé.
Notification des incidents significatifs
De plus, toutes les entités NIS2 doivent, dans le cadre de leur plan de réponse aux incidents, informer le Centre pour la Cybersécurité Belgique (CCB) des incidents significatifs à partir du 18 octobre 2024, c’est-à-dire tout incident ayant un impact significatif sur la fourniture de leurs services et qui :
- a causé ou peut causer une perturbation opérationnelle grave des services ou des pertes financières pour l’entité concernée ;
- a affecté ou peut affecter d’autres personnes physiques ou morales en causant des dommages matériels ou immatériels importants.
Obligations et responsabilités pour la direction
Les conseils d’administration et la direction doivent être formés à la cybersécurité afin de pouvoir assumer leurs responsabilités et obligations. Si l’entité ne respecte pas ses obligations en matière de gestion des risques, l’organe de direction en sera tenu responsable.
Pour prendre des décisions de gestion concernant les stratégies et mesures de cybersécurité au niveau du conseil d’administration, une connaissance de base de la gestion des risques et de la cybersécurité est indispensable. Il est recommandé de planifier cette formation pour la direction avant avril 2025.
Outre la formation destinée à la direction, la formation des employés fait également partie des mesures essentielles en matière de cybersécurité.
Votre IT est-il à jour ?
La cybersécurité évolue à un rythme soutenu. Il y a quelques années, il n’était même pas question que les PME belges soient tenues de se conformer aux lois NIS. Il est donc plus que probable que les environnements mis en place à l’époque ne répondent plus aux normes actuelles ou à venir. Nous proposons différents types d’audits pour (re)cartographier votre environnement informatique et ses faiblesses. Notre point de départ est toujours d’examiner la situation et les besoins spécifiques de votre PME. Pas de théories ou de principes généraux, mais des conseils concrets que vous pourrez immédiatement appliquer.