Directive NIS2: comment assurer la cybersécurité de votre PME?

Cette législation européenne fixe certaines exigences en matière de cybersécurité, de gestion des risques et de déclaration des incidentsNouvelle fenêtre . De nombreuses PME doivent également se conformer à ces obligations NIS2. Nos experts chez Proximus vous guideront à travers les dispositions les plus importantes, du dévoir général de diligence à l’obligation de reporting.

Pourquoi une directive NIS2 sur la cybersécurité?

Les PME et TPE sont de plus en plus exposées aux cyberattaques. En 2023, une entreprise belge sur trois a été touchée par un incident de cybersécurité. Cela peut entraîner de grandes pertes de données, des atteintes à la réputation et de graves perturbations des activités de l’entreprise.

La directive européenne NIS2 exige que les entreprises mettent en place de meilleures protections pour éviter ces risques. La législation impose des exigences plus strictes en matière de sécurité, de gestion des risques et de signalement des incidents. L'objectif ? Faire passer la cybersécurité globale en Europe à un niveau supérieur et mieux armer les entreprises contre les menaces croissantes.

Directive NIS2: qui est concerné?

Concrètement, vous devez vous mettre en conformité en tant qu’« entité importante » si vous répondez aux deux critères suivants :

• Vous employez 50 personnes ou plus, ou, vous réalisez un chiffre d’affaires annuel de 10 millions d’euros ou plus
• Vous opérez dans l’un des 18 secteurs d’activité critiques (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, fourniture / distribution d’eau potable, gestion des eaux usées, infrastructures numériques, gestion de services TIC, administration publique, secteur spatial, services postaux et d’expédition, gestion des déchets, fabrication / production / distribution de produits chimiques, alimentation et fabrication)

Comment être en conformité avec la directive NIS2?

1. Inscrivez votre entité NIS2 dès que possible sur Safeonweb@WorkNouvelle fenêtre .
2. Réalisez une analyse des risques, identifiez vos vulnérabilités et prenez les mesures appropriées pour sécuriser votre infrastructure informatique. Gérez les incidents, améliorez l’hygiène informatique, mettez en œuvre des systèmes de sauvegarde, assurez la continuité des activités et divulguez les vulnérabilités. Nos experts en cybersécurité chez Proximus peuvent vous aider avec cela.
3. Signalez tout incident significatif au CCB (Centre for Cybersecurity Belgium)Nouvelle fenêtre . Ce signalement doit suivre plusieurs étapes :
   1. Une alerte dans les 24 heures suivant la prise de connaissance de l’incident.
   2. Un rapport d’incident dans les 72 heures.
   3. Un rapport intermédiaire à la demande du CCB ou de l’autorité concernée.
   4. Et un rapport final au plus tard un mois après la notification de l’incident. Si l’incident est toujours en cours, un rapport d’avancement est requis, suivi d’un rapport final dans le mois suivant la résolution de l’incident.

Y a-t-il des obligations supplémentaires pour les entités essentielles?

Les entités qualifiées d' «essentielles» doivent se conformer à des obligations supplémentaires, incluant des contrôles rigoureux planifiés ou inopinés. Elles sont sous une surveillance proactive. Si elles ne respectent pas les règles, elles risquent de lourdes sanctions.

Des obligations et sanctions plus strictes sont d’application pour les organisations identifiées comme « entité essentielles » ; il s’agit des structures répondant aux deux suivants :

• Vous employez 250 personnes ou plus, ou, vous réalisez un chiffre d’affaires annuel de 50 millions d’euros ou plus ou un total du bilan annuel dépassant 43 millions d’euros ou plus
• Et vous opérez dans l’un des 11 secteurs d’activité très critiques (énergie, transports, secteur bancaire, infrastructures des marchés financiers, santé, fourniture / distribution d’eau potable, gestion des eaux usées, infrastructures numériques, gestion de services TIC, administration publique et secteur spatial)

La règlementation impose aux entités relevant de cette directive de garantir la qualité de la cybersécurité de leurs fournisseurs et prestataires directs. Par conséquent, même les entreprises qui ne sont pas directement concernées par la NIS2 seront indirectement également affectées par ces obligations légales.

Quelles sont les sanctions en cas de non-conformité NIS2?

Les entités essentielles risquent une amende pouvant aller jusqu'à 10 millions d'euros ou 2 % de leur chiffre d'affaires mondial. Pour les entités importantes, l'amende peut atteindre 7 millions d'euros ou 1,4 % de leur chiffre d'affaires mondial. En plus, les dirigeants peuvent aussi être tenus responsables.

Retrouvez un guide de démarrage rapide en 7 étapes proposé par le gouvernement sur atwork.safeonweb.beNouvelle fenêtre

Comment Proximus peut vous aider avec NIS2?