Auteur : Tom Daems (Dehaese & Dehaese)
Votre organisation est-elle également sous le feu des projecteurs ?
Directive 2022/2555 du 14/12/2022 concernant des mesures visant à assurer un niveau commun élevé de cybersécurité dans l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148 ou la « Directive NIS2 », succède à la Directive NIS1 de 2016. Cette Directive NIS1 a été transposée en droit belge via la loi du 7 avril 2019 établissant un cadre pour la sécurité des réseaux et des systèmes d’information d’intérêt général pour la sécurité publique. Le législateur belge a désormais jusqu’au 14/10/2024 pour transposer la directive NIS2 en droit belge. Dans cette contribution, nous vous proposons un aperçu des innovations les plus importantes apportées par cette directive NIS2.
Pourquoi une législation NIS ?
NIS signifie « Network and Information Security » et son objectif est de construire la cybersécurité dans l’Union européenne, de limiter les menaces sur les réseaux et les systèmes d’information utilisés pour les services essentiels dans des secteurs clés et d’assurer la continuité de ces services lorsqu’ils sont confrontés à des incidents, contribuant ainsi à la sécurité de l’Union européenne. Pour ce faire, la législation NIS 1) oblige les gouvernements nationaux à accorder une attention suffisante à la cybersécurité, 2) renforce la coopération entre les autorités de cybersécurité au niveau de l’UE et 3) oblige les principaux opérateurs des secteurs les plus importants de notre société à prendre des mesures de sécurité et à signaler les incidents. . En bref, cette législation vise à garantir au maximum la cybersécurité des entreprises et des services essentiels.
Extension du champ d’application
L’un des changements les plus importants apportés à la directive NIS2 est l’élargissement de son champ d’application. Ainsi, l’identification préalable par les autorités nationales compétentes des entités concernées ne sera plus nécessaire pour entrer dans le champ d’application. Une organisation entrera donc automatiquement dans le champ d’application si elle est active dans l’un des secteurs listés dans les annexes de la directive et si elle a une certaine taille. Il est important que la directive NIS2 ajoute également de nombreux nouveaux secteurs à son champ d’application, tels que les fournisseurs d’accès Internet et les fournisseurs de services numériques.
Evaluation du fournisseur
Un principe important de la législation NIS est la gestion des risques. La directive NIS2 prévoit, entre autres, que les organisations impliquées doivent faire face aux risques de sécurité dans leur chaîne d’approvisionnement. En d’autres termes, les audits nécessaires auprès de vos propres fournisseurs doivent être réalisés. Par exemple, certaines organisations qui n’entrent pas dans le champ d’application de la directive NIS2 peuvent néanmoins être tenues de se conformer aux mesures qui y sont contenues, notamment lorsqu’elles agissent en tant que fournisseur d’une organisation qui entre dans son champ d’application. La directive NIS2 prévoit également une obligation de déclaration des incidents de sécurité. Les procédures nécessaires doivent donc être élaborées en interne.
Sanctions et responsabilité
La directive NIS2 prévoit des mesures de contrôle plus strictes pour les autorités nationales, ainsi que des mesures visant à améliorer la coopération entre les autorités de contrôle des États membres. La directive NIS2 prévoit également des sanctions plus strictes. Des amendes ou des sanctions administratives peuvent être imposées jusqu’à un maximum de 10 millions d’euros. Dans certains cas, les membres du conseil d’administration des organisations impliquées peuvent également être tenus personnellement responsables.
Décision
La directive NIS2 peut être considérée comme une couche de protection supplémentaire, en plus de la législation RGPD existante. Après tout, la directive NIS2 va plus loin et ne concerne pas seulement la protection des données personnelles.
Toute organisation entrant dans le champ d’application de la directive NIS2 devrait donc déjà prendre les mesures préparatoires nécessaires pour se conformer à cette nouvelle législation. Ce n’est qu’ainsi que l’on pourra éviter les mauvaises surprises lorsque la directive NIS2 devra être transposée dans le droit national.
Bron : Dehaese & Dehaese
