Commandé avant 20h, livré le jour ouvrable suivant (vendredi jusqu'à 19h00) | + 50 000 en stockEn savoir plus

Page d'accueil

Se conformer à la loi NIS2 doit être une priorité pour de nombreuses entités

« La cybersécurité est devenue absolument incontournable »

Une cyberattaque est le pinacle de la vulnérabilité en ligne : mieux vaut s’en protéger de manière optimale. C’est également l’objectif de la nouvelle loi belge NIS2 qui est entrée en vigueur depuis le 18 octobre. Qu’est-ce que cela implique exactement ? Comment s’y conformer ? Quels sont les risques auxquels vous vous exposez si vous ne vous y conformez pas ? Dirk De Paepe, Senior Certification Expert au CCB (Centre for Cybersecurity Belgium) nous explique tout de manière exhaustive.

En 2016, l’Europe a publié une directive sur la cybersécurité que l’ensemble des États membres doit(devait) traduire en législation. En Belgique, cela a donné naissance le 7 avril 2019 à la loi NIS (NIS signifie « Network and Information Systems », NDLR). 

« La Directive NIS européenne avait trois objectifs », souligne Dirk De Paepe. « Elle imposait aux gouvernements nationaux de prêter l’attention nécessaire à la cybersécurité. Deuxièmement, elle devait renforcer la collaboration entre les autorités en charge de la cybersécurité à l’échelle européenne. Elle devait en outre obliger les principaux opérateurs des secteurs les plus importants à prendre des mesures de sécurité et à signaler les incidents. »

Une nécessité encore plus grande

Cependant, la loi NIS1 n’a pas réussi non plus à atteindre tous les objectifs fixés. « Elle a eu des effets positifs en Europe, mais son champ d’application était trop limité, et elle manquait de clarté quant au groupe cible auquel elle s’appliquait. Une situation qui s’est traduite par une mise en application inefficace et l’imposition de sanctions. De plus, l’Europe a constaté une trop grande disparité au niveau des approches des différents États membres. Les besoins en matière de cybersécurité ont par ailleurs augmenté de manière considérable. Cela s’explique par une forte augmentation de la cybercriminalité, que l’on perçoit dans la hausse significative du nombre de menaces. Dans sa globalité, notre société est aussi devenue beaucoup plus dépendante du monde numérique et est beaucoup plus connectée, ce qui augmente sa vulnérabilité. »

Dirk De Paepe

C’est pourquoi l’Europe a proposé une nouvelle mouture plus exigeante avec la directive NIS2. « Celle-ci conserve les mêmes objectifs que la NIS1, mais élargit considérablement le nombre d’entités et de secteurs concernés. Elle comprend également des mesures plus claires, des règles étendues en matière de notification d’incidents, des règles de sanction plus strictes et plus spécifiques et prévoit une plus grande responsabilisation du haut management de chaque entité. »

Pionnier

La Belgique a pris cette nouvelle directive très au sérieux et est même la première à la traduire intégralement dans la nouvelle loi NIS2 qui est entrée en vigueur le 18 octobre 2024. « Le fait que le gouvernement attache une grande importance à cette loi et aux décisions exécutives qui en découlent est une bonne nouvelle. Nous constatons d’ores et déjà que de nombreux autres États membres prennent la Belgique pour exemple. Certains d’entre eux ont tendance à copier notre approche dans leur propre pays, ce qui pourrait représenter un avantage pour nos entreprises. Le CCB a joué un rôle déterminant dans l’élaboration de la loi NIS2 et s’est également concerté à ce sujet avec les parties intéressées et les autorités sectorielles. »

Nous constatons d’ores et déjà que de nombreux autres États membres prennent la Belgique pour exemple. 

Dirk De Paepe, CCB

Au cours des dernières semaines et des derniers mois, le CCB n’a pas ménagé ses efforts afin de tenir tout le monde informé. « Pour ce faire, nous avons utilisé des dizaines de présentations, des vidéos expliquant le plus clairement possible les bases fondamentales de la cybersécurité, ainsi que notre site Internet. Nous mettons également un point d’honneur à répondre individuellement à toutes les demandes d’informations qui nous sont envoyées par e-mail. Bien entendu, nous avons également fourni d’amples informations aux fédérations sectorielles et aux organisations d’employeurs. Malgré tous ces efforts, nous constatons que de nombreuses organisations et entreprises tombent encore des nues lorsqu’elles entendent parler de la loi NIS2. C’est pourquoi nous poursuivrons sans relâche nos campagnes d’information au cours des mois à venir. »

En tant qu’entité, que devez-vous faire à présent à l’égard de la loi NIS2 ? Pour vous aider, le CCB a élaboré un plan en sept étapes.

  1. Suis-je concerné par la loi NIS2 ?
  2. Enregistrez votre entité NIS2 le plus rapidement possible
  3. Notifiez les incidents significatifs
  4. Déterminez votre niveau CyberFundamentals (CyFun®)
  5. Planifiez des formations en matière de cybersécurité
  6. Mettez en œuvre des mesures de sécurité
  7. Faites contrôler votre politique en matière de cybersécurité
Logo Safe On Web

Essentiel ou important

En Belgique, nous opérons une distinction entre une entreprise importante et une entreprise essentielle. L’explication de cette distinction est disponible sur le site Internet du CCB et est reprise dans les annexes I et II de la loi NIS2 belge. 

Le contrôle des mesures de cybersécurité prises est effectué par des organismes d’évaluation de la conformité (OEC). Il s’agit d’organisations autorisées par le CCB dont est disponible en ligne, avec les conditions à remplir pour devenir un OEC. 

« Dans le cas des entités « importantes », les évaluations de la conformité régulières se font en principe sur base volontaire. Pour les entreprises « essentielles » par contre, ces évaluations de conformité régulières sont obligatoires. Généralement, les entités essentielles sont des organisations d’envergure opérant dans des secteurs très critiques et sont vitales pour un pays : si elles cessent de fonctionner en raison d’une cyberattaque, nombre de personnes en pâtissent. Les entreprises d’utilité publique et les hôpitaux en sont de bons exemples. Les entreprises importantes (telles que les services de coursier) sont en général des organisations de taille moyenne opérant dans des secteurs très critiques et de grandes et moyennes organisations dans d’autres secteurs critiques où les cyberincidents peuvent également avoir de graves conséquences sur la société. Il est en outre crucial pour les entreprises essentielles et importantes de sécuriser également leur chaîne d’approvisionnement. On peut donc en conclure que la loi NIS2 aura un impact important sur bon nombre d’entités. »

Il est crucial que les entreprises essentielles et importantes sécurisent également leur chaîne d’approvisionnement. 

Dirk De Paepe

Sanctions

Vous n’avez que faire de la NIS2 en tant qu’entité ? Ce n’est pas une bonne idée. D’une part, vous vous tirez une balle dans le pied en négligeant la cybersécurité, et d’autre part, il s’agit également d’une loi : vous devez vous y conformer.

« Les entités qui ne s’y conforment pas et qui commettent donc des infractions vis-à-vis des mesures de gestion des risques et de la notification d’incident s’exposent dans un premier temps à des mesures administratives, telles que des avertissements et des instructions contraignantes. Si une entité essentielle s’abstient de le faire, une personne assumant des responsabilités dirigeantes, telle qu’un directeur général, peut même se voir temporairement interdire d’exercer ses fonctions au sein de cette entité. »

Des amendes substantielles sont également possibles. « Pour les entités importantes, celles-ci peuvent atteindre 7 millions d’euros, ou 1,4 % du chiffre d’affaires mondial total de l’exercice précédent (le montant le plus élevé étant retenu). Pour les entités essentielles, ce montant peut aller jusqu’à 10 millions d’euros, ou 2 % du chiffre d’affaires (le montant le plus élevé étant retenu). »

À défaut de s’y conformer, la personne s’expose à des amendes ou à une interdiction temporaire d’exercer ses fonctions. 

Dirk De Paepe

Au travail

Il n’y a donc pas de temps à perdre pour se conformer à la loi NIS2. Dirk De Paepe recommande aux entités de commencer par la formation de base CyberFundamentals. « Celle-ci porte, par exemple, sur la réalisation et la vérification de backups : des backups qui tournent sur le même réseau et/ou ne fonctionnent pas ne vous seront d’aucune aide. En outre, il est très judicieux d’intégrer l’authentification multifacteurs (MFA, une méthode qui vérifie l’identité de l’utilisateur de plus d’une manière, NDLR). À défaut d’en disposer, l’entité court davantage le risque d’être victime des cybercriminels. Ceux-ci profitent souvent de la moindre faille de cybersécurité pour agir et ciblent aussi bien les grandes que les petites entreprises. »

À l’aide du « scope tool » dans le guide de démarrage rapide disponible sur le site Internet du CCB (www.cyfun.be), chaque entité peut vérifier si elle est importante ou essentielle.  L’outil d’auto-évaluation CyFun® disponible sur ce même site vous donne, en tant qu’entité, une idée claire de votre niveau de cyber-résilience et vous permet de planifier et de budgétiser la manière dont vous pouvez accroître celle-ci afin de répondre aux exigences légales de la loi NIS2.

En savoir plus sur NIS2 ?

Pour tout savoir sur le sujet

En savoir plus sur NIS2 ?Lire le dossier
grijze icoontjes van een vrachtwagen, een klok, een doos en een computerscherm

Commandé avant 20h, livré le jour ouvrable suivant (vendredi jusqu'à 19h) - câble coupé jusqu'à 17 heures (ven. 16 heures)

4-3_1million-references

+1.900.000 références

Trouvez tout ce dont vous avez besoin dans notre catalogue

4-3_useful-from-start

Des conseils d'experts

Recevez une assistance technique de spécialistes pour soutenir vos projets