La loi intégrant la nouvelle directive NIS2 sur la cybersécurité a été publiée au Moniteur belge le vendredi 17 mai 2024 et entrera en vigueur le 18 octobre 2024. Elle vise à attirer davantage l’attention sur la cybersécurité dans le secteur public et dans certains secteurs privés clés.
En Belgique, quelque 2.500 entités sont désormais concernées, contre une centaine sous la précédente directive NIS1. Les moyennes et grandes entreprises actives dans deux types de secteurs sont ciblées : les secteurs très critiques tels que la gestion de services TIC, les fournisseurs publics de télécommunications, les registres de noms de domaine et les fournisseurs de DNS, la banque, la santé, les transports ou les infrastructures numériques ; et d’autres secteurs critiques tels que la production et la distribution de produits chimiques, la fabrication de produits informatiques, de véhicules et de dispositifs médicaux, ainsi que les fournisseurs numériques.
Les entreprises seront classées en deux catégories : essentielles et importantes, selon leur taille et leur secteur d’activité. Certaines petites entreprises seront également touchées si elles font partie de la chaîne d’approvisionnement d’une entité essentielle ou importante.
Pour se conformer à la directive, les entités couvertes doivent s’inscrire auprès du Centre pour la Cybersécurité Belgique (CCB) avant le 18 mars 2025. Les entités doivent mettre en place un cadre solide de gestion des risques pour réduire les conséquences des cyberincidents.
Un défi majeur sera la gestion des risques provenant des entreprises de la chaîne d’approvisionnement. En complément des mesures internes, les entités concernées devront mettre en œuvre un cadre de résilience de leur supply chain, prenant en compte les vulnérabilités propres à chaque maillon. La loi impose également l’obligation de signaler les cyberincidents, d’approuver une politique en matière de sécurité des systèmes d’information et de définir les mesures approuvées.
Les entités essentielles seront soumises à un contrôle ex ante et ex post rigoureux, avec des contrôles périodiques et des sanctions sévères pouvant aller jusqu’à 10 millions d’euros ou 2 % du chiffre d’affaires annuel mondial.
Pour vous aider dans cette transition, n’hésitez pas à contacter Antoine DECLEVE.
