NIS2 : l’Europe élargit le champ d’application de la règlementation

Publié le 28/09/2021 dans Actualité

NIS2 : l’Europe élargit le champ d’application de la règlementation

Si la directive NIS (Network & Information Security) vise déjà un niveau élevé de sécurité, voici NIS2. Un champ d’application élargi pour booster la résilience de l’infrastructure IT des entreprises conformes.

Déjà trois ans…

La loi NIS, issue de la directive européenne du même nom, est la première législation en matière de cybersécurité en Belgique. Trois ans après son entrée en vigueur, le Centre pour la Cybersécurité en Belgique est globalement satisfait du respect des règles de la part des entreprises. “Mais il est encore trop tôt pour évaluer complètement la mise en œuvre des règles. Les premiers audits internes viennent d’être réalisés et les premiers audits externes seront réalisés en 2023”, précise Valéry Vander Geeten, responsable juridique du Centre pour la Cybersécurité Belgique.

Si vous remplissez les conditions légales, vous devez respecter la directive.

Valéry Vander Geeten uit, responsable juridique du CCB

author

NIS 2 : plus de secteurs concernés

Jusqu’ici, les règles s’appliquent aux secteurs du Transport, de l’Énergie, des Finances, de la Santé, de l’eau potable, des infrastructures numériques et des fournisseurs de services numériques. NIS2, la nouvelle proposition de directive, prévoit d’élargir les types d’opérateurs dans certains des secteurs existants et d’ajouter de nouveaux secteurs : les opérateurs télécoms, les administrations publiques, les entreprises d’équipements électroniques, de l’alimentation ou encore de chimie en font partie. “Notons également que l’identification préalable par l’autorité sectorielle compétente ne serait plus nécessaire. Si vous remplissez les conditions légales, vous devez respecter la directive”, souligne Valéry.

En quoi consiste NIS2 au juste ? Et quels secteurs relèvent de cette nouvelle réglementation ? Les détails pratiques ont été rassemblés dans une synthèse pratique.

La directive NIS2 Nouvelle fenêtre

Autoriser les hackers éthiques

Afin de responsabiliser les managers, les sanctions prévues par la nouvelle directive pourraient non seulement s’appliquer à l’organisation, mais aussi à ses dirigeants à titre personnel. Valéry attire également l’attention sur une nouvelle recommandation importante : “La mise en œuvre par les entreprises de politiques de divulgation coordonnée à des vulnérabilités. Il s’agit de fixer préalablement des règles autorisant des personnes externes à l’entreprise (hackers éthiques) à rechercher les potentielles vulnérabilités de ses systèmes d’information. Concrètement, les organisations publieraient ces règles sur leur site internet ou sur via une plateforme de bug bounty”.

Qu'est-ce que le hacking éthique et comment cela fonctionne-t-il ? Deux hackers éthiques du Proximus Accelerator Davinsi Labs répondent à 7 questions.

7 questions sur le hacking éthique

La cybersécurité n’est pas qu’une question d’IT, c’est avant tout une culture d’entreprise.

Valéry Vander Geeten uit, responsable juridique du CCB

Cybersécurité à tous les étages

Une législation plus stricte est bénéfique à toute organisation, quelle que soit sa taille. Le secteur de l’Énergie est évidemment crucial pour tous les autres secteurs et la sécurité de ses systèmes industriels est un enjeu important. Idem pour le secteur public dont les récents incidents en sont la preuve.

“Dans la proposition NIS2, les micros ou petites entreprises seraient exclues, avec de nombreuses exceptions notamment pour les entités qui pourraient avoir une incidence sur la sécurité publique, la sûreté publique ou la santé publique. Néanmoins, je pense que tout le monde est concerné. La cybersécurité n’est pas qu’une question d’IT, c’est avant tout une culture d’entreprise.”

Une évolution nécessaire

Personne ne niera la nécessité des modifications proposées au niveau européen. L’augmentation des risques liés à la cybercriminalité est exponentielle et une législation dont la portée est trop limitée ne serait pas raisonnable dans un monde de plus en plus numérisé et interconnecté. “Force est de constater de grandes différences de moyens, de maturité et de résilience des opérateurs entre les différents secteurs. Un argument qui justifie amplement une plus grande harmonisation transsectorielle dans la mise en œuvre des règles de sécurité NIS”, conclut Valéry.

Respecter la réglementation européenne.

Découvrez les security services

Des questions sur la sécurité au sein de votre organisation ? Parlez-en avec l’un de nos experts.

Contactez notre expert Nouvelle fenêtre

Le Centre pour la Cybersécurité Belgique est une administration fédérale, sous l’autorité du Premier ministre, chargée de la coordination de la politique en matière de cybersécurité en Belgique.
Valéry Vander Geeten est le responsable juridique du Centre pour la Cybersécurité Belgique et délégué à la protection des données. Il est également en charge de la coordination de la transposition de la directive NIS en Belgique.

One

Le magazine IT de Proximus qui s’adresse aux CIO et professionnels IT actifs dans les PME. 

Les autres articles de One